サイバー攻撃でWordPressに不正ログインされないためのセキュリティ対策

サイバー攻撃のほとんどは無作為に行われるものであり、自分だけは大丈夫ということはありません。

また、サイバー攻撃によってどのような被害を受けるかは想像するのが難しく、被害を受けた側が加害者として責任を取らなければならない、または何らかの被害を実害として受けることもあり、事前に防御策をしておくことが求められます。

今回はサイバー攻撃でWordPressに不正ログインされないためのセキュリティ対策や考え方についてご説明します。

1.パスワードの生成や管理の仕方を考える

サイバー攻撃はパスワードとして使われやすいものを集めた辞書攻撃や、WordPressの設置してあるサイトのURLや名前などから、自動的にパスワードを類推して不正ログインを試みようとします。

もし、あなたが覚えやすいパスワードや、メールアドレスやサイト名と関連するような形でパスワードを設定しているのなら、今すぐにパスワードの変更を行ってください。

WordPressにはパスワード生成機能がありますから、ユーザーの画面でパスワードを変更して、新しいパスワードにしましょう。 複雑なパスワードは覚えにくかったり、入力しにくいから嫌がる方も多いですが、基本的にはパスワードは覚えるものではありません。

GoogleDocsやEverNote、DropBoxなどのオンラインストレージに保存しておき、ファイル名は「WordPressのパスワード」などとわかりやすいものにせず、自分だけにわかるファイル名にしておくことがおすすめです。 「保存してある場所」と「保存してあるファイル名や行」の組み合わせでパスワードの管理をすると、パスワードを覚える必要がなくなります。 また、パスワードとユーザー名、メールアドレスやURLを同じファイルにメモしないことも大切です。

2.普段使わないメールアドレスを利用する

普段、オンラインサービスを使うために利用しているようなメールアドレスは利用せず、なるべくならWordPressのためにメールアドレスを作りましょう。

新しく作ったメールアドレスであれば、他の人に教えたり、何らかのオンラインサービスに登録しない限りは誰にも知られることはありません。 レンタルサーバーでWordPressを運営しているのであれば、メールサーバーも付随すると思いますので、任意のメールアドレスを作り、普段使っているメールに転送される設定をしておくことがベストです。

3.プラグイン「Theme My Login」をインストール

Theme My LoginはWordPressのログインURLの変更とメールアドレスのみのログインに変更することが可能なプラグインです。

まずはWordPressの管理画面→プラグイン→新規追加を開いて、キーワード欄に「Theme My Login」と入力して、「今すぐインストール」をクリック、表示が変わったら「有効化」をクリックしましょう。

Theme My Loginがインストールされると、WordPressの管理画面にTheme My Loginという項目が表示されますので、クリックして開きます。

ログイン方法を「Email only」に変更し、ログインの項目にある「login」の文字列を任意の文字列に変更すれば、メールアドレスによるログインのみ、デフォルトのログインURLから任意のログインURLに変更可能となります。

この時点でユーザー名によるログインやデフォルトのログインページに対するログインアタックが不可能となりますので、不正ログインされる可能性が限りなく低くなります。

4.プラグイン「SiteGuard WP Plugin」をインストール

次にプラグインの新規追加でキーワード欄に「SiteGuard WP Plugin」と入力し、すぐインストールして、SiteGuard WP Pluginを有効化します。

SiteGuard WP PluginをインストールするとログインURLが変更されますが、既にログインURLが変更できるプラグインをいれたので、SiteGuard WP PluginのログインURL変更の機能はOFFにします。

その他、SiteGuard WP Pluginをインストールした時点でONになっている機能に「ログイン詳細エラーメッセージの無効化」と「ログインロック」と「ログインアラート」などがありますので、そちらはそのままにしましょう。

・ログイン詳細エラーメッセージの無効化

"" ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。""

・ログインロック

"" ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。 ""

・ログインアラート

"" 不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。""

※WordPress「SiteGuard WP Plugin」の設定項目より引用

プラグイン提供元：JP-Secure | SiteGuard WP Plugin

SiteGuard WP Pluginの説明にもありますが、上記がそれぞれの項目の機能説明となります。 その他の項目についても、必要な部分があれば有効化し、適切に設定しましょう。 「ログイン詳細エラーメッセージの無効化」と「ログインロック」と「ログインアラート」が有効化されていれば、ログインのエラーメッセージによる類推を防ぎ、機械的な不正ログインアタックするIPドレスをブロックし、不正ログインがあればメール通知がくるようになるので、ひとまずは安心と言えます。

まとめ

サイバー攻撃は機械的に無作為に行われるものですが、なぜWordPressが狙われやすいかというと、ユーザー名によるログインが可能で、ログインURLがデフォルトのままであれば、あとはパスワードさえ突破できれば不正にログインできてしまうためです。

デフォルトでユーザー名はWordPressのURLで表示されるユーザー名ですし、ログインURLもデフォルトのままであれば誰にでもアクセス可能となります。 ログインURLを変更すること、ユーザー名によるログインを不可にすること、この二つだけでも大きな効果があることを覚えておいてください。 また、メールアドレスを普段使っているものにしないこと、覚えやすいパスワード、類推されやすいパスワードを使わないことも、普段から心がけてみてくださいね。