WordPressの初期のログイン設定のまま使っていると危険ですので、最低限ログインに関する変更は行っておきましょう。今回は、その理由や対処方法について記載していきます。
ログインに関する設定変更の必要性
インストールしたてのWordpressでは、通常「あなたのサイトドメイン/wp-login」や「あなたのサイトドメイン/wp-admin」でログインページが作成されています。さらに、試行回数などの制御もないため、「ブルートフォース攻撃(Brute Force Attack)」にとても弱くなっています。
ブルートフォース攻撃は、コンピューターセキュリティにおいてログイン情報を見つけ出すために、すべての可能な組み合わせを総当たりで試行する攻撃手法のことです。
初期設定ではログインの試行回数制限がなく、ログインページが固定で生成されるため、ログインページに入りさえすれば、ひたすら文字を打ち換えてログインにチャレンジすることで突破できてしまうということになります。
管理者権限でログインをされてしまうとサイトを乗っ取られてしまうことになるため、ログインに関する設定は最初に行っておきましょう!
対処方法
ログインに関する強化について、具体的な例を挙げてみます。
対処方法 | 補足 |
---|---|
強力なパスワードの使用 | 確実に強力なパスワードを使用してください。パスワードは長く、大文字・小文字・数字・特殊文字を組み合わせたものが安全です。また、簡単に推測できるパスワード(例: “password”や”123456″)は避けましょう。 |
2要素認証 (2FA) の有効化 | 2FAは、最近よく見かけるブラウザ×メール・SMSなど、違うデバイスやログイン機構で認証することです。WordPressには多くの2FAプラグインが利用可能です。2FAを有効にすると、パスワードに加えて認証コードが必要になり、セキュリティを大幅に向上させます。 |
ログイン試行回数の制限 | 多くのログイン試行に失敗した場合、一時的にアカウントへのアクセスを制限するプラグインを導入しましょう。これによりブルートフォース攻撃を防ぎます。 |
ログインURLの変更 | ログインURL(通常は「wp-login」や「wp-admin」)を変更するプラグインを使用して、デフォルトのログインページを隠すことができます。これにより、ブルートフォース攻撃のリスクを軽減できます。 |
IPアドレス制限 | IPというのはいわゆる住所みたいなもので、特定の場所からしかアクセスできないようにしてしまえば、安全ですよねってことですね。 |
セキュリティプラグインの利用 | WordPressにはセキュリティ向上のためのプラグインが多数存在します。プラグインを使用して、不正アクセスへの対策を強化しましょう。 |
ログの監視 | WordPressログを監視し、不審なアクティビティやログイン試行を追跡しましょう。異常があれば早期に対処できます。 |
今回説明する内容
上記のような対処方法がありますが、難易度や注意点はまちまちです。例えば、IPはしっかり制御してしまうと出先でスマホからのアクセスができなくなってしまったりするなど(もちろん、国だけを縛るなども出来たりもしますので、回避方法や工夫の余地はありますが)、注意が必要です。
今回は、簡単にでき、最低限しておいた方がいい「ログインURLの変更」と「試行回数制限」を説明していきたいと思います。ログインページのURLを変更できれば、ブルートフォース攻撃の危機も和らげることができます。
WordPressのプラグインマーケットには多数の対策プラグインが出ていますが、ここでは「Login rebuilder」と「Limit Login Attempts Reloaded」を紹介していきたいと思います。10分くらいで終わる内容ですので、行っておくことをオススメします。
Login rebuilderの使い方
プラグインの新規登録で「Login rebuilder」と検索。有効化すると「設定」が可能になります。
新しいログインファイルのところに記載した「何か好きな文字列.php」という設定が、そのままログインURLになります。今回の場合だと「あなたのサイトドメイン/何か好きな文字列」ですね。
もう一つ、ログインが失敗したときに具体的に「パスワードが間違っています」などの表記が出ると、ユーザの存在がばれてしまって、早く解かれてしまうことになります。そのため、このチェックは入れておくことをオススメします。
他にもメールアドレスでのログインを禁止することもできますので、お好みで設定してください。
こちら対応が完了したら、下記の「稼働中」に変更して保存すると、wp-loginやwp-adminが無効化されて「あなたのサイトドメイン/何か好きな文字列」になります。
Limit Login Attempts Reloadedの使い方
プラグインの新規登録で「Limit Login Attempts Reloaded」と検索。有効化すると「設定」が可能になります。
有効化すると、試行回数の制御などがデフォルトで設定されています。3~4回に設定しておくといいと言われています。
ロック通知のメールアドレスは、普段使っているものにしておくと安心だと思います。
最後に
今回は、「ログインページの変更」「試行回数の制限」の二つの対処方法の例を紹介しましたが、Wordpressは攻撃対象にもされやすいので、運用する際は十分注意しましょう。