【超危険】絶対に防ぎたいWordPressへの不正ログイン！対策しておきたいことのすべて

WordPressを活用しているみなさんは、普段ログイン画面にユーザー名とパスワードを入力して、管理画面を操作していると思います。

実は、何気にログインしているこの画面、初期状態だと非常に危険であることをご存知ですか？

WordPressはシェアが多いだけにさまざまな攻撃の対象となりやすく、その中でも最もリスクが高いものが、悪意の第三者による「不正ログイン」です。

今回は、不正ログインにフォーカスして、対策方法を中心に徹底解説します。未だ被害が発生している重大リスクとなりますので、是非チェックしてみて下さい。

WordPressへ不正ログインされるとどうなるのか

WordPressの不正ログイン、もし被害にあったらどうなるのかご存知ですか？

答えは「何でもできます。。。」

あなたが普段管理画面にログインして行っている操作とまったく同じことができてしまいます。

具体的に、どのようなリスク・ダメージがあるのかを知っておきましょう。

・サイトの改ざん
・サイトの消去
・なりすまし
・不適切な内容の投稿
・個人情報・クレジットカード情報の漏洩
・アカウント情報変更による締め出し
・悪意のあるコードの埋め込み（スパム・悪質サイトへの誘導等）

苦労して作った、自社のマーケティング資産であるサイトが無駄になってしまうだけでなく、訪問したユーザーへのダメージもある点に注目です。

個人情報・クレジットカード情報の漏洩はもちろん、御社名でのサイトが悪質サイトへの誘導元やウイルスの散布元となったりしてしまうのです。

ユーザーの怒りが向けられるのは御社ですし、責任を取るのも御社です。内容によっては謝罪だけでは済まない場合もあります。

今回の記事は不正ログインの対策について解説していきますが、最初にやるべきは「セキュリティ意識を高める」ことです。

不正ログインがいかに危険であるかを、今一度ご確認下さい。

なぜ、不正ログイン対策の必要があるのか

不正ログイン対策の方法を今回ご紹介していくわけですが、その理由は、「WordPressは対策を行わないと不正ログインに対して脆弱すぎる」からです！

WordPressのログイン画面はインターネット上にあるため、世界中からアクセスできますし、ユーザー名とパスワードが分かるだけで誰でもログインできてしまいます。

「パスワードを複雑にしている」「定期的にパスワードを変更している」という方は多いと思いますが、これだけで安心していたら危険です。

詳しくは後述しますが、脆弱なパスワードはプログラムで驚くほどの短時間で破れますし、ユーザー名についてはなんと調べることができます。ご存知でしたか？

WordPressは無対策だと不正ログインにこんなにも弱いという事実を知らない方はまだまだ多く、普及して年月を経た現在でも、不正ログインの被害は後を絶ちません。

他人事と思わず、不正ログイン対策を行う必要性を、是非認識しておいて下さい。

全部やっておきたい不正ログイン対策8選

不正ログインに対して対策を行う必要性についてご説明しました。

ではいよいよ具体的な施策について解説していきます。

1.バックアップ

「不正ログイン対策でバックアップ！？」

そう思われた方もいらっしゃるかもしれません。

徹底的な対策を施すことで、不正ログインのリスクを限界まで減らすことはできますが、残念ながら100％の安全というのはありません。

万に一つでもサイトが被害にあった場合、データのバックアップを取っておけば復旧することができます。

保険的な意味合いの施策となりますが、不正ログイン以外のトラブルもありますので、必ず実施しておきましょう。

2.強固なパスワードの設定・定期的な変更

WordPressに限らず、インターネット上の不正ログイン対策の基本であるのが、強固なパスワードの設定です。

例えば8桁の英語の小文字をランダムに設定したパスワードがあったとします。これは安全でしょうか？

とある調査データによると、こちらの条件だとなんと1分もかからず見破られてしまいます。数字のみの場合や、推測しやすい英単語を設定している場合は、もっと簡単に見破られてしまいます。この事実を知っておいて下さい。

パスワードは桁数が10桁以上になると英語小文字のみでも10時間以上と強度が格段に増します。10桁以上で数字や大文字小文字や記号を全て組み合わせると、突破に要する時間は数百年とかなり強固になりますのでオススメです。

さらに定期的に変更することで容易に破られないようにすることができます。

3.盲点になりがちなユーザー名に対する対策

パスワードは強力なのに、ユーザー名は手抜きの方は非常に多い傾向にあります。

不正ログインは、ユーザー名とパスワード両方揃うことによって破られますので、ユーザー名にも注意を払うべきです。

特に多いのが、初期ユーザー名「admin」。ほとんどのパスワード総当たり攻撃は、ユーザー名adminに対して仕掛けられています。後はパスワードだけ破れば良いので非常に危険です。

adminは必ず削除しておきましょう。Admin以外の新しいユーザー名を作成すると削除できます。推測されにくいユーザー名に差し替えておきましょう。

adminの削除だけではまだまだ危険です。ユーザー名は実は外部から簡単に調べることができます。

以下のURLを入力してみて下さい。ドメイン名にはユーザー名を知りたいサイトを入力します。

https://ドメイン名/?author=1

何も対策されていないと、なんとURL欄にはユーザー名が表示されてしまいます。。。

https://ドメイン名/author/ユーザー名/

こちらはWP Author Slugというプラグインを導入するだけで、アクセスできないようにできます。ユーザー名を隠すために必ず実施しておきましょう。

また、テーマによっては記事にユーザー名が表示されるものがあります。投稿者の名前を設定しないと、デフォルトではユーザー名が表示されてしまうというものです。

任意のニックネームを設定してユーザー名を隠すか、投稿にユーザー名が表示されないテーマを使いましょう。

4.アカウント管理の徹底

チームでメディアを運用していたり、外部のライターを起用している場合には、アカウントを複数発行することとなります。

もしメンバー全員に管理者権限のアカウントを発行しているとしたらとても危険です。

管理者権限はWordPressのすべての操作ができるアカウントです。こちらが漏れてしまうと、サイトをどうにでもされてしまいます。

リスクの大きい管理者権限のアカウントは、社内の最小限のメンバーが厳正に管理して、他のメンバーは役割に応じて、編集者アカウントや投稿者アカウントなど、必要最低限の機能を有したアカウントを発行しましょう。

そうすることで、もしアカウントが漏れてしまった場合にも、ダメージを軽減することができます。

また、発行したアカウントはメンバー全員が責任をもって管理するように、ルール付けして徹底しましょう。

ブラウザにアカウントを保存させたり、ログイン状態を保持させたり、ネットカフェや外部のWi-Fiスペースなど他人に見られる場所でのログインといった、リスクにつながる行為を禁止します。

情報セキュリティに関する知識や意識を持っていないメンバーもいますので、アカウント発行時に教育することも必要です。

退職者や疎遠になった外部のライター等の、不要になったアカウントは削除します。

元メンバーの背徳行為や、メモを落とした等の、人為的なミスによるアカウント漏洩も意外と多いため、注意しましょう。

5.ログイン画面・管理画面のSSL化

ショッピングサイトのようなクレジットカード番号や個人情報を入力するサイトは、第三者に傍受されても情報を読み取れないように、SSL化を行って通信を暗号化するのが必須です。

WordPressのログイン画面・管理画面もSSL化することで、不正に通信を傍受されてもログイン情報を特定されずに済みます。

デフォルトでは、WordPressはログイン画面・管理画面共にSSL化されていません。もし通信を傍受されるとユーザー名とパスワードが読み取られて簡単に不正ログインされてしまいます。

可能な限り、ログイン画面・管理画面はSSL化を行って、セキュリティレベルを高めておきましょう。

6.ログインページ/管理画面へのアクセス制限

不正ログインは、必ず「ログインページを経由」して行われます。

従って、運用メンバーのIPアドレス以外からのアクセスを禁止することで、万が一悪意の第三者にアカウントが漏れてもアクセスできないという、非常に効果的な対策を施すことができます。

IPによるアクセス制限をかける方法は簡単で、Wp-login.phpと同一階層にある.htaccessに、アクセスを許可したいIPアドレスを追加していくだけです。

但し、IPアドレスが変動する場合は、当然毎回.htaccessを編集しなければならず、利便性の観点から現実的な対策となりません。

その場合は、国外のアクセスを制限したり、ログイン回数制限をかけることで、不正ログインの脅威を軽減する施策が有効となります。

7.2段階認証/画像認証/ワンタイムパスワードの導入

WordPressの不正ログインは、ログインのプロセスを増やすことで、システムによる総当たり攻撃では突破できなくなるため、非常に有効な施策となります。

具体的には、「2段階認証」「ワンタイムパスワード」「画像認証」といった手法があります。

特に2段階認証とワンタイムパスワードは、インターネットでの銀行口座や証券口座の利用に、金融機関が積極的に仕組みを提供していることからも、その安全性の高さは信頼に値します。

オススメは2段階認証で、こちらを突破するにはWordPressのアカウントだけでなく、対象のスマホを入手する必要があるため、身近な人間でもない限り不正ログインはまず不可能です。

こちらはGoogle Authenticatorという、ワンタイムパスワード・二段階認証を設定できるツールをGoogleが無料提供していますので、導入することをオススメします。

8.アクセスログの取得

WordPressへの不正ログイン対策として、アクセスログを取得して現状を把握することは非常に重要です。

Crazy Boneというプラグインを使うと、簡単にログインページから不正にログインを試みた痕跡を確認することができます。

このプラグインでは、国籍・IPアドレス・ログインの成否・日時・アタックを試みたユーザー名など、様々なことがわかります。

不正が無いかを定期的に確認するのは勿論、特定の国からのアクセスやIPアドレスをブロックするといった対策を施すことができます。

不正ログインがあれば即座にパスワードを変更して不正アクセス対策を見直すとともに、改ざんや情報漏洩、ウイルスなどの被害が無いかを確認しましょう。

まとめ

WordPressの不正ログインについて、危険性や対策の必要性、具体的な施策までを解説してきました。

「ログインだけでここまでやらないといけないのか…」と思った方もいらっしゃるかもしれません。しかし不正ログインされた場合のリスクとダメージの大きさを考えると、いくら注意してもしすぎることは無いでしょう。

ここまでやればかなり強固になりますので、不正ログインのリスクを限界まで減らすことができます。しかし絶対は無いのでバックアップは忘れずに！

何か起こってから後悔しても後の祭りです。手間をかけてでも是非実施してみて下さい。