WordPressはユーザ名とパスワードが分かれば誰でもログインできてしまいます。
それだと不正ログインの被害に遭ったり、ブログ・サイトが丸ごと乗っ取られるリスクがあるからかなり危険です。
そのリスクを減らすのに絶対入れるべきが SiteGuard WP Plugin プラグイン
ここではこのプラグインで不正ログインを防いでセキュリティを向上させる使い方についてまとめました。
SiteGuard WP Plugin の導入
まずこのプラグインをインストールするには、
メニューから「プラグイン」ー>「新規追加」をクリック
新規追加画面が開いたらプラグインの検索欄に「siteguard」などと入力して検索
すると検索結果の上あたりに次のようなプラグインが表示されるので「今すぐインストール」を押してインストールしてください。
ちなみに以下のプラグインページから直接ダウンロードすることも可能です。
https://ja.wordpress.org/plugins/siteguard/
インストールしたら「今すぐインストール」ボタンが「有効化」ボタンに変わるので、必ずそれを押して有効化するのもお忘れなく
有効化したら必ずログインURLを記録しよう!
プラグインを有効化すると次のように、画面上部に「新しいログインページURLをブックマークしてくだい」というメッセージが表示されます。
この指示通りに「新しいログインページURL」を必ずブックマークに追加してください。
何も設定していないデフォルトの状態だとログインページのURLは次のようになります。(「wp-login.php」というのはどのWordPressでも共通)
http://[ドメイン名]/wp-login.php
これだと誰でもログインページにアクセスできてしまうので、このプラグインを有効化するとログインページURLが次のように置き換わります。
http://[ドメイン名]/login_[数字列]
数字列には「88605」などの不規則な数字列が入るので攻撃者がログインページを推測しにくくなるという訳です。
ですが・・・
ログインページURLを忘れると管理者ですらログインページに入れなくなるので要注意
先ほど書いたように、必ず新しいログインページのブックマークは忘れないでください。
そうしないと開かずの扉ならぬ「開かずのブログ」になってしまいます。
SiteGuard WP Plugin の機能
導入自体はこれで終わり。
次は SiteGuard WP Plugin の不正ログインを防ぐ機能を紹介します。
ログイン時の画像認証
突然ですが先ほどブックマークした新しいログインページにアクセスしてみてください。
そうするとユーザー名とパスワードの下に表示された文字列を入力しないとログインできない画像認証が追加されましたよね?
これがこのプラグインの1つめの機能、いわゆる 画像認証 です。
この画像認証はログインページの他に次の管理ページでも表示されます。
- コメントページ
- パスワード確認ページ
- ユーザー登録ページ
そしてこの画像認証パターンには次の3つが設定可能
- ひらがな(デフォルト)
- 英数字
- 無効(画像認証なし)
もし画像認証の設定を変えたい場合、
メニューから「SiteGuard」ー>「画像認証」を選んでください。
画像認証ページを開くと次のように画像認証のON/OFFや認証方式の設定を選択することが可能です。
設定を変更したら下の方にある「変更を保存」ボタンを押すと変更が反映されます。
ログインアラート
これはログインがあったことをメールで知らせてくれる機能です。
実際にログインページからログインしてみると次のようなメールがWordPressに登録してあるメールアドレス宛に届きます。
もし不正ログインがあったとしても、このメール通知が来るからすぐ対処可能です。
ログインロック
WordPressに不正ログインしようとする攻撃者がよく使うのは、
ブルートフォースアタック(力任せ攻撃)と呼ばれる攻撃手法
これはパスワードで可能な組み合わせを全て試し、総当たりでセキュリティを突破するという攻撃のことです。
これを防ぐために一定回数ログインに失敗すると一定期間ログインができなくする機能があって、それが ログインロック です。
実際にログインページで複数回ログインに失敗するとフォームの上に「エラー: ログインはロックされています。」というメッセージが出てきてログインができなくなります。
デフォルトではロック時間は一分になっていますが、この設定を変えたい場合はメニューから「SiteGuard」ー>「ログインロック」と進むと次のような設定画面が出てきます。
この画面では設定できるのは次の3つの項目
- 期間
この期間の間に一定回数ログインに失敗するとロックがかかる
- 回数
この回数分だけ上で指定した期間の間にログイン失敗するとロックがかかる
- ロック時間
ロックがかかった場合に再度ログイン可能になるまでのロック時間
例えば期間を5秒、回数を3回、ロック時間を1分に設定すると「5秒の間に3回ログイン失敗したら1分間だけロックがかかる」という設定になります。
まとめ - 不正ログイン対策は超大事
自分の所有しているブログやサイトは大事な資産です。
なのでそれを乗っ取られて被害にあわないためにもここでは紹介した「SiteGuard WP Plugin」などのプラグインを導入しましょう。
自分は大丈夫と思わわずにしっかり不正ログイン対策をするのが大切です。
フク郎
最新記事 by フク郎 (全て見る)
- 最大5,000円報酬をもらうために、招待を受入れていただけませんか? - 8月 27, 2024