WordPressの不正ログインに備える

WordPressはフリーのオープンソースなので、運用は各自の責任になります。
今までは気になることはなかったのですが、この頃のアクセス数増加に合わせて、それなりのセキュリティ対策を講じないといけないかなと思い、対策をしてみました。
参考にしたサイト → WordPressのセキュリティ対策方法11選 | WordPressテーマ「メシオプレス」ブログ



1.不正アクセス

最も備えなければいけないのは、管理画面にプログラムからの攻撃でIDとPasswordが特定されることです。
パスワード総当り(ブルートフォースアタック)とも呼ばれるようです。

そのため、「Login LockDown」といった、同じIPアドレスから短時間にログインミスが一定回数繰り返された時に、管理画面をロックするプラグインがあります。
導入しようかと思ったら、そういった攻撃はIPアドレスも変えながら行うので意味がないと書かれてあるページも


うーむ、、、となったわけです。

で、調べてみると、

そもそもレンタルサーバー会社の方でWordPressのセキュリティ対策がされている

とあるじゃないですか。ファイアバードとエックスサーバーを調べたところ、

ちゃんとされてありました




おまけに、海外サーバからの管理画面のアクセスはレンタルサーバー側で遮断もされています。
ので、案外、何もしなくてもいいのかもしれません。
ロリポップは見た範囲では対策がされていないとのことですから、確認してみた方がいいと思います。

そもそもログイン状況がどうなっているのかを観察するために、「Crazy Bone (狂骨)」というプラグインを入れました。



これはどのユーザ名で、いつ、どこから、ログインしようとして、その結果がどうであったかのログを取るものです。
こうした統計情報を取ることで、そもそもどのくらい危険に晒されているのかチェックしてみたいと思います。

2.ユーザー名

不正ログインが行われるときにユーザー名はデフォルトの「admin」を使って行われることが多いようです。
ユーザー名とパスワードの2つセットなわけですから、adminを変更してなければ不正アクセスに合いやすくなります。

ので、変更しておきます。
そのときに、ドメイン名をユーザー名にしない方がいいそうです。
ユーザー管理は、管理画面のサイドバーの「ユーザー」の確認で行えます。

3.画像認証、2段階認証

管理画面へのプログラムからのアクセスを防止するために有効なのは、画像認証や2段階認証を用いることです。
対応のプラグインはありますが、導入はしませんでした

正直なところ、面倒になるのが嫌です。
2段階認証の場合は、携帯のメールにワンタイムパスワードが送信される仕組みが主流です。
携帯がないと何もできなくなります。

そもそも、WordPressに不正ログインをして失ってしまうものは、ブログの記事や画像であって、それほどないかなと思います。
バックアップを取っていれば、まあ、なんとか・・・なるかなと。
自己責任ですから、自分が想定するリスクに合わせた対策をすればいいわけです。

素人丸出し意見だとは思いますが。

4..htaccessの編集

ログイン情報を担っているのは、「wp-login.php」ファイルです。
このファイルへ外部からのアクセスを遮断するように 「.htaccess」ファイルの書き込むといいそうです。
以前、そのファイルをWordPressの速度上昇のために、編集してます
記事 → サイト速度を向上させるために、WordPressへの9の試みとその結果
参考サイト → WordPressサイト用の.htaccess例 | dogmap.jp

調べてみると、ちゃんとアクセス制御のコードが書かれてありました。
ちゃんとわかってやってあるんですね・・・いやはや、すごい!

終わりに

調べれば調べるほどに、情報が出てきます。
どこまでやるべきか、何が必要なのかはレンタルサーバーの状況と合わせて精査する必要がありそうです。

ひとまず、対策はやった気になりましたので、ログイン状況の統計を取りながらにしたいと思います。
WordPressを使い始めて5年は経ちますが、とりあえず、困ったことはありません。
対策はリスクに応じて、ということで、気にしてみてください。では!