WordPressのリスクは不正ログイン! 個人ができる対策6つ

こんにちは、ひつじ先輩 (@baacash_)です。

この記事では、WordPressのリスクと不正ログイン対策について書きます。

無料ブログと比べて、WordPressなら余計な広告は入らないし、カスタマイズも細かくできます。

そんなWordPressのデメリットは、セキュリティ面のリスクでしょう。

企業が運営するサービスであれば、そうした管理はプロがやってくれます。

しかし、個人のWordPressではセキュリティを自分で確保しないといけません。

そこでこの記事では、月間5万PV規模の当ブログで行っているリスク対策を書きます。

特別な知識はいらない内容です。

ぜひ、読んでみてください。

好きなところにジャンプ！

WordPressのリスク
不正ログイン対策
セキュリティ対策まとめ
- WordPressのリスク
- 不正ログイン対策

WordPressのリスク

WordPressのリスクは、不正ログインされやすいことです。

通常、ログインするためのページがインターネットから誰でも見れるようになっています。

ID・パスワードがバレると、ログインされてしまいます。

ログインさえしてしまえば、サイトの内容を変え放題です。

勝手に広告を入れられる
ドメインを勝手に売られる
迷惑メールの送信に使われる

といった被害が考えられます。

不正ログイン対策

更新する
ログインIDを隠す
パスワードを複雑に
ログイン試行を制限
WAFを有効に
IP制限

の6つです。

すべてやるのがベストですが、最低でも4まではやることおすすめします。

1.更新する

WordPress自体に脆弱性があると、攻撃されるかもしれません。

WordPress
プラグイン
WordPressテーマ

を最新の状態に更新します。

わたしは週に1度、アップデートをチェックするようにしています。

2.ログインIDを隠す

WordPressでは、最初はログインIDが公開されています。

IDとパスワードが分かるとログインされるため、まずIDを隠します。

ニックネームを設定

まず、投稿した記事の下の方。

コメント欄のあたりに書いた人が表示されますが、これがログインIDになっています。

わたしはもう変えてあるので、ハンドルネームになっています。

「ダッシュボード」→「ユーザ」→「あなたのプロフィール」で変えられます。

ニックネームを設定し、「プロフィールを更新」をクリック。

「ブログ上の表示名」でニックネームを選び、さらに「プロフィールを更新」で完了です。

著者のアーカイブページ

自分が書いた記事の一覧ページのURL。

ここで、ログインIDが表示されてしまいます。

画像の「n_fx」というところです。

わたしはもう変えてあるので、TwitterのIDになっています。

Edit Author Slugというプラグインで変えられます。

インストール後、「ダッシュボード」→「ユーザ」→「あなたのプロフィール」へ。

「カスタム設定」をえらび、適当な名前にしましょう。

「プロフィールを更新」をクリックすれば、完了です。

3.パスワードを複雑に

言葉を組み合わせる、などではなくランダムな長い文字列がベスト。

他のサービスで使っているパスワードは使わず、

WordPress
レンタルサーバ

それぞれに、別のパスワードを設定します。

パスワードを作るのには、このページが便利です。

パスワード生成（パスワード作成）ツール

パスワード生成（パスワード作成）するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成（自動作成）することができるツールです。

このページが100％絶対安全！とは言い切れません。

出てきた文字列を、さらにいじくってから設定しましょう。

4.ログイン試行を制限

ログインに何度か失敗すると、ログインできないようにするプラグインを2つ紹介します。

ブルートフォースアタック※への対策になります。

※ブルートフォースアタック：ランダムなパスワードを入力しまくり、正解を探す方法

SiteGuard WP Plugin

ログイン制限については、シンプルです。

この画像の場合、5秒以内に3回ログインに失敗すると1分間ログインできなくなります。

このプラグインには、他にもセキュリティ面の機能がたくさんあります。

とくに、ログインに画像認証を追加する機能がすばらしいです。

文字を読んで入力しないといけないので、自動化がむずかしいです。

また、日本語の「ひらがな」なので海外のハッカーはやる気をなくすでしょう。

Login LockDown

こちらは、ログイン試行の制限に特化したプラグイン。

英語ですが、SiteGuardより自由度は高いです。

設定できることは6つで、

Max Login Retries→ログインできなくなるまでの失敗回数
Retry Time Period Restriction (minutes)→失敗回数を何分記録するか
Lockout Length (minutes)→何分間ログインできなくするか
Lockout Invalid Usernames?→無効なユーザ名の失敗をカウントするか
Mask Login Errors?→ログイン失敗理由を表示させないようにするか？
Show Credit Link?→Login LockDownの使用を明示するか？

という意味です。

5.WAFを有効に

Webサーバの前面に配置して通信を解析し、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策（引用元）

です。

WordPressそのものに脆弱性があったとしても、アクセスをはじくことができます。

設定は、レンタルサーバからできます。

ロリポップの場合、「マイページ」→「セキュリティ」→「WAF設定」。

設定したほうがいいのですが、デメリットも。

ひつじ

WAFのせいで、設定が保存できない！

ということがたまにあるのです。

ウィジェットでHTMLコードを保存できない
テーマの設定が保存できない

などが起きたときは、WAFが原因のことが多いです。

一時的に外しましょう。

外れるのには、数分かかります。

少しめんどうですが、セキュリティのためならやむなしです。

6.IP制限

特定のIPアドレス(接続元)からのアクセスだけを、許可します。

ログイン以外にも、WordPressの構成ファイルへの直接のアクセスを防ぎます。

サーバーにあるWordPressのファイルのうち、「.htaccess」というファイルを編集します。

ロリポップの場合、「マイページ」→「サーバの管理・設定」→「ロリポップ！FTP」から

「.htaccess」の一番上（# BEGIN WordPress より上）に、以下のコードを貼ります。

<Files ~ “^\.(htaccess|htpasswd)$”>
deny from all
</Files>
Options -Indexes
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 00.00.00.00
</Files>
Order deny,allow
Deny from all
Allow from 00.00.00.00
<FilesMatch “^(wp-config\.php|wp-cron\.php)”>
order allow,deny
deny from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
</IfModule>