【セキュリティ対策プラグイン】WordPressログイン画面のブルートフォースアタック対策【Site GuardとStealth Login Page】

2018/9/23 ウェブ開発

こんにちは。

ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。

このサイトは、IT関係について説明しています。

今回は、WordPressのハッキング対策として、有効となるプラグインについて紹介します。

スポンサーリンク

WordPressのセキュリティの基礎

WordPressは便利な反面、世界的に使われているサイト作成ツールであり、セキュリティ対策を行わないと、ハッキングの危険性にさらされているツールであることはご存知かと思います。

WordPressのハッキングに関しては、基本的にログインページへのブルートフォースアタック(総当たり攻撃)が主流なようです。

これは、デフォルトではWordPressのログイン画面がhttp://example.com/wp-login.phpであることで、下層ディレクトリにWordPressを設置していない場合にはログインページに一発でアクセスされることになります。

そこで、WorPressのログインユーザー名は、ちょっと知識のある方なら一発で見抜くことができます。

ログインページがわかり、ユーザー名がわかれば、後はパスワードを乱れ打ちして、見事ヒットすればハッキング性能となります。

こうした攻撃を防ぐために、ログイン時に複数の認証を行う、あるいはログインページにアクセスさせない方法があります。

ここでは、これらを実現するセキュリティ系プラグインの使い方について説明していきます。

なお、WordPressは必ず常時SSLを実施してください。

通常のHTTP通信を行っていれば、WordPressにログインするたびにログイン情報の漏洩の危険性があります。

常時SSL化を行っていれば、ユーザー名とパスワードが暗号化されるため、盗聴の危険性は限りなく低くなります。

なお、SSL化しているかわからない場合には、URLがhttps://~になっているか確認してください。

http://~となっていれば、SSL保護が行われておらず、危険な状態といえます。

SiteGuardプラグイン

SiteGuardプラグインは、日本製のプラグインであり安心感もあります。

WordPressのセキュリティ対策としては必須ともいえるでしょう。

ログインURLの変更

WordPressのログインURLは、みんな同じwp-login.phpです。

このログインURL変更は、ログインURLを任意のURLに変更することができます。

この機能を有効にした場合、wp-login.phpは404エラーとなり、攻撃を防ぐことができます。

ただし、wp-login.phpにアクセスしなくても、wp-adminにアクセスすることで、ログイン画面にリダイレクトされる弱点があります。

そこで、次の管理画面へのアクセス許可設定が必要になります。

管理画面へのアクセス許可

管理画面へのアクセス許可は、ログインしていない場合にwp-adminへのアクセスをブロックするものです。

wp-adminは、WordPress管理画面のトップページになります。

攻撃者が、ログインURLが変更されていたとしても、wp-adminにアクセスすることでリダイレクトによりログイン画面へ到達できることを知っていた場合、簡単にログインページに辿り着かれてしまいます。

そこで、そもそもログインしていなければ、wp-adminへのアクセス自体をブロックすることでログインページも守るのがこの「管理画面へのアクセス許可」です。

この機能を有効化することにより、ログイン画面は、設定した任意のURLでのみ表示されるようになるため、ログイン画面へのアクセスを限りなくブロックすることができます。

画像認証

SiteGuardプラグインの画像認証は、日本語に対応しています。

海外からアタックする場合、外国人は日本語が読めないため、画像認証を突破できず、アタックに失敗します。

フェールワンス

フェールワンスは、正しいログイン情報を入力しても、一度目はログインに失敗させるものです。

ブルートフォースアタックの場合、力づくでパスワードを試すため、一度試してダメだったパスワードは次は使わないという心理を突いたセキュリティです。

XMLRPC防御

これはよくわかりませんが、ONにしたほうがいいらしいです。

XMLRPCを無効化にチェックを入れるとさらにいいらしいです。

ちなみに、先日このXMLRPCでアタックを受けました。

SiteGuardプラグインに守っていただけたようです。

IPアドレスから探すと、どうやら中国からのアタックのようです。

ログイン履歴

ログイン履歴は、ログインの履歴が表示されます。

あやしいIPアドレスがあれば、.htaccessでアクセスをブロックするのも有効です。

Stealth Login Pageプラグイン

Stealth Login Pageプラグインは、2個目のパスワードを設定できるプラグインです。

パスワードを二重化することにより、より安全性が高まります。

このプラグインを有効化すると、ログイン画面に2つ目のパスワードを設定できます。

これにより、ブルートフォースアタックによるログイン画面の突破を抑えることができます。

まとめ

WordPressは、プログラムの知識がなくても簡単にサイトを運営できることで、世界中に広まっているサイト作成ツールです。

ですが、それは同時に常にハッキングの危険性を持っています。

そのほか、.htaccessに記述することで、wp-config.phpを保護することでデータベースへのハッキングを防いだり、ログイン画面へのアクセスをIP制限を仕掛けておくこともできます。

これらについては別の記事で紹介しますが、もし、.htaccessの使い方がわからない場合、今回紹介したセキュリティプラグインもあるので、プラグインだけでもインストールして有効化し、大切なウェブサイトを守ってください。

ログイン履歴に怪しいIPアドレスがあり、プラグインが守ってくれたと思うと本当に感謝します、

以上、WordPressのセキュリティ対策について参考になれば幸いです。