あなたのWordPressは狙われている!必ずやるべきセキュリティ対策

2013.05.04

現在私の様なWordPress初心者でも気軽にブログをはじめる事ができる環境が整っています。レンタルサーバー会社の方で全てが用意されており、手順通りに設定すれば10分程度でブログをはじめることができます。

しかしながら初期設定のままでブログを運用するのは「保険証や通帳を玄関先のポストに鍵をかけて保管している」ようなものです。WordPressを狙う悪質な攻撃にさらされ非常に危険な状態となります。WordPress改ざん被害を防ぐ為にブログを開設したらまずやっておくべきセキュリティ対策「SiteGuard WP Plugin」プラグイン導入をお送りします。

なぜ初期状態だと危険なのか

WordPressを初期状態で使用している場合、ワードプレスログイン画面のアドレスは次の様に設定されています。(Wordpressをインストールしているフォルダにより若干変わります。)

「http://ドメイン名/wp-login.php」

例:「http://kateblog.net/wp-login.php」または「http://kateblog.net/Wordpress/wp-login.php」

このように外部からログインページの場所が分かる状態にしている場合、IDとパスワードを複雑に設定していたとしても、時間をかけて解読されてしまうのです。

WordPressを狙う攻撃は「ブルートフォースアタック(総当たり攻撃)」と呼ばれる方法が用いられます。ダイアルロックを「0000」から「9999」までの1万通りを一つずつ試して解錠番号を調べるという方法と同じです。大文字、小文字、数字を満遍なく使用していたとしても、4桁のパスワードで数分の内に解読されます。8桁のパスワードでも数十日の内に解析されてしまう恐れがあります。解読速度はパソコンの性能向上とともに年々短くなっています。

WordPressを狙った国外からの不正アクセス被害は年々報告されており、いつ運用しているサイトが悪意のある者に目を付けられるか分かりません。セキュリティ対策は何より最優先でするべき事項であると言えるでしょう。

「SiteGuard WP Plugin」で出来ること

SiteGuard WP Pluginでは主に次のことができます。まずはログイン画面のアドレスを容易に推測できる場所から変更しましょう。

・ワードプレスログイン画面のアドレス(URL)を任意のものに変更できる

・ログインに失敗したユーザーを一定時間ロックする

・画像認証設定

・ログイン履歴表示、メール送信

他にも多くのセキュリティ対策が設定できます。

導入手順

1.ワードプレス管理画面の「プラグイン」→「新規追加」を選択します。

2.右上のキーワード検索欄に「SiteGuard WP Plugin」と入力し、「Enterキー」を押し検索します。検索結果が表示されるので、「SiteGuard WP Plugin」の「今すぐインストール」をクリックします。

3.インストールが完了すると上の画像が表示されます。「プラグインを有効化」をクリックするとプラグイン導入作業は完了です。

初期設定

「SiteGuard WP Plugin」を導入した場合、初期設定をしておきましょう。今回は最低限の初期設定を紹介します。ご自身に合った設定に変えることでセキュリティをより強固にすることができます。

ログインページ変更

ログインページのURL(アドレス)を変更することで、第三者が簡単にログイン画面にアクセスできない様にします。

1.ワードプレス管理画面の左側にある「SiteGuard」を選択後に「ログインページ変更」をクリックします。

2.「変更後のログインページ名」の項目のアドレスをお好きな文字に設定します。初期設定では「login_<5桁の乱数>」で設定されてあります。

3.設定完了後に「変更を保存」をクリックします。

4.設定したログインページのアドレスを必ずブックマークしておきましょう手帳などにログインアドレスをメモしておくとなお安心です。

画像認証

画像認証を設定することで機械的にアクセスを試みて解析を行うロボットのログインを受けにくくします。

1.ワードプレス管理画面の左側にある「SiteGuard」を選択後に「画像認証」をクリックします。

2.「ON」を選択した後に「変更を保存」をクリックして設定完了です。

ログインページにアクセスすると上の画像の様に「画像認証」が表示されるようになります。

ログインロック

ログインに数回失敗した接続元を一定時間ロックする設定を行うことで、不正にログインを試みる攻撃を受けにくくします。

1.ワードプレス管理画面の左側にある「SiteGuard」を選択後に「ログインロック」をクリックします。

2.「ON」を選択した後に「変更を保存」をクリックして設定完了です。

その他の機能名と説明書き

管理ページアクセス制限:ログインしていない接続元から管理ディレクトリを守ります。

ログイン詳細エラーメッセージの無効化:ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。

ログインアラート:ログインがあったことを、メールで通知します。

フェールワンス:正しい入力を行っても、ログインを一回失敗します。

ピンバック無効化:ピンバックの悪用を防ぎます。

更新通知:WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。

WAFチューニングサポート:WAF(SiteGuard Lite)の除外ルールを作成します。

ダッシュボード

ワードプレス管理画面の左側にある「SiteGuard」をクリックすると「ダッシュボード」が表示されます。

ダッシュボードには「SiteGuard」の各機能設定状況を一覧で確認することができます。チェックマークが緑色になっているものが「機能ON」となっている項目です。

あとがき

いかがでしたでしょうか。「SiteGuard WP Plugin」を導入されていない方は、セキュリティ対策の第一歩として是非設定されることをお勧めします。

スポンサーリンク

コメント

タイトルとURLをコピーしました