WordPressのリスクは不正ログイン! 個人ができる対策6つ

WordPressのリスクは不正ログイン! 初心者ができる対策6つ ブログ

こんにちは、ひつじ先輩 (@baacash_)です。

この記事では、WordPressのリスクと不正ログイン対策について書きます。

 

無料ブログと比べて、WordPressなら余計な広告は入らないし、カスタマイズも細かくできます。

そんなWordPressのデメリットは、セキュリティ面のリスクでしょう。

 

企業が運営するサービスであれば、そうした管理はプロがやってくれます。

しかし、個人のWordPressではセキュリティを自分で確保しないといけません。

 

そこでこの記事では、月間5万PV規模の当ブログで行っているリスク対策を書きます。

 

特別な知識はいらない内容です。

ぜひ、読んでみてください。

スポンサーリンク

WordPressのリスク

WordPressのリスク

WordPressのリスクは、不正ログインされやすいことです。

通常、ログインするためのページがインターネットから誰でも見れるようになっています。

 

ID・パスワードがバレると、ログインされてしまいます。

ログインさえしてしまえば、サイトの内容を変え放題です。

 

  • 勝手に広告を入れられる
  • ドメインを勝手に売られる
  • 迷惑メールの送信に使われる

といった被害が考えられます。

 

不正ログイン対策

15リスク管理

  1. 更新する
  2. ログインIDを隠す
  3. パスワードを複雑に
  4. ログイン試行を制限
  5. WAFを有効に
  6. IP制限

の6つです。

すべてやるのがベストですが、最低でも4まではやることおすすめします。

 

1.更新する

WordPress自体に脆弱性があると、攻撃されるかもしれません。

  • WordPress
  • プラグイン
  • WordPressテーマ

を最新の状態に更新します。

わたしは週に1度、アップデートをチェックするようにしています。

 

2.ログインIDを隠す

WordPressでは、最初はログインIDが公開されています。

IDとパスワードが分かるとログインされるため、まずIDを隠します。

 

ニックネームを設定

まず、投稿した記事の下の方。

コメント欄のあたりに書いた人が表示されますが、これがログインIDになっています。

わたしはもう変えてあるので、ハンドルネームになっています。

 

「ダッシュボード」→「ユーザ」→「あなたのプロフィール」で変えられます。

ニックネームに変更

ニックネームを設定し、「プロフィールを更新」をクリック。

「ブログ上の表示名」でニックネームを選び、さらに「プロフィールを更新」で完了です。

 

著者のアーカイブページ

自分が書いた記事の一覧ページのURL。

記事の一覧ページのURL

ここで、ログインIDが表示されてしまいます。

画像の「n_fx」というところです。

わたしはもう変えてあるので、TwitterのIDになっています。

 

Edit Author Slugというプラグインで変えられます。

インストール後、「ダッシュボード」→「ユーザ」→「あなたのプロフィール」へ。

Edit Author Slug

「カスタム設定」をえらび、適当な名前にしましょう。

「プロフィールを更新」をクリックすれば、完了です。

 

3.パスワードを複雑に

言葉を組み合わせる、などではなくランダムな長い文字列がベスト

他のサービスで使っているパスワードは使わず、

  • WordPress
  • レンタルサーバ

それぞれに、別のパスワードを設定します。

 

パスワードを作るのには、このページが便利です。

パスワード生成(パスワード作成)ツール
パスワード生成(パスワード作成)するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成(自動作成)することができるツールです。

 

このページが100%絶対安全!とは言い切れません。

出てきた文字列を、さらにいじくってから設定しましょう。

 

4.ログイン試行を制限

ログインに何度か失敗すると、ログインできないようにするプラグインを2つ紹介します。

ブルートフォースアタック※への対策になります。

※ブルートフォースアタック:ランダムなパスワードを入力しまくり、正解を探す方法

 

SiteGuard WP Plugin

SiteGuard

ログイン制限については、シンプルです。

この画像の場合、5秒以内に3回ログインに失敗すると1分間ログインできなくなります。

 

このプラグインには、他にもセキュリティ面の機能がたくさんあります。

とくに、ログインに画像認証を追加する機能がすばらしいです。

画像認証

文字を読んで入力しないといけないので、自動化がむずかしいです。

また、日本語の「ひらがな」なので海外のハッカーはやる気をなくすでしょう。

 

Login LockDown

こちらは、ログイン試行の制限に特化したプラグイン。

英語ですが、SiteGuardより自由度は高いです。

 

設定できることは6つで、

  • Max Login Retries→ログインできなくなるまでの失敗回数
  • Retry Time Period Restriction (minutes)→失敗回数を何分記録するか
  • Lockout Length (minutes)→何分間ログインできなくするか
  • Lockout Invalid Usernames?→無効なユーザ名の失敗をカウントするか
  • Mask Login Errors?→ログイン失敗理由を表示させないようにするか?
  • Show Credit Link?→Login LockDownの使用を明示するか?

という意味です。

 

5.WAFを有効に

Webサーバの前面に配置して通信を解析し、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策(引用元

です。

WordPressそのものに脆弱性があったとしても、アクセスをはじくことができます。

 

設定は、レンタルサーバからできます。

ロリポップの場合、「マイページ」→「セキュリティ」→「WAF設定」。

 

設定したほうがいいのですが、デメリットも。

ひつじ
ひつじ

WAFのせいで、設定が保存できない!

ということがたまにあるのです。

 

  • ウィジェットでHTMLコードを保存できない
  • テーマの設定が保存できない

などが起きたときは、WAFが原因のことが多いです。

一時的に外しましょう。

 

外れるのには、数分かかります。

少しめんどうですが、セキュリティのためならやむなしです。

 

6.IP制限

特定のIPアドレス(接続元)からのアクセスだけを、許可します。

ログイン以外にも、WordPressの構成ファイルへの直接のアクセスを防ぎます。

 

サーバーにあるWordPressのファイルのうち、「.htaccess」というファイルを編集します。

ロリポップの場合、「マイページ」→「サーバの管理・設定」→「ロリポップ!FTP」から

 

「.htaccess」の一番上(# BEGIN WordPress より上)に、以下のコードを貼ります。

<Files ~ “^\.(htaccess|htpasswd)$”>
deny from all
</Files>

Options -Indexes

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 00.00.00.00
</Files>

Order deny,allow
Deny from all
Allow from 00.00.00.00

<FilesMatch “^(wp-config\.php|wp-cron\.php)”>
order allow,deny
deny from all
</FilesMatch>

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
</IfModule>

(引用元:WordPressのセキュリティを高める.htaccessの設定)

 

00.00.00.00のところは、自分のIPアドレスに書きかえましょう。

これで、自分のIPアドレスからはアクセス可能になります。

 

自分のIPアドレスが変わったときは、「.htaccess」を忘れずに書きかえます。

 

自分のIPアドレスは、こちらで見られます。

ロリポップの場合、「マイページ」→「セキュリティ」→「FTPアクセス制限」でも見れる。

 

セキュリティ対策まとめ

WordPressのリスク

ID・パスワードがバレてしまうと、ログインされてしまうこと。

  • 勝手に広告を入れられる
  • ドメインを勝手に売られる
  • 迷惑メールの送信に使われる

といった被害が考えられる。

 

不正ログイン対策

  1. 更新する
  2. IDを隠す
  3. パスワードを複雑に
  4. ログイン試行を制限
  5. WAFを有効に
  6. IP制限

の6つ。

最低でも4まではやるのがおすすめ。

 

Evernoteで、画像の編集をすることができます。

とても便利なのですが、使い方が悪いと隠したつもりの部分が見えてしまうリスクも。

個人情報を守る!Evernoteの画像編集で注意すること
Evernoteで画像が編集できるが、個人情報などを隠すために注釈・線・図形を使っても意味がない。トリミング・モザイク以外のやり方だと他人が元に戻せてしまう。安全なやり方を紹介する。

ぜひ、読んでみてください。

 

ワードプレスブログを作ったばかりの人に読んで欲しい記事リストは、この記事にあります。

副業ブログなら無料はおすすめできない。安い作り方・タダ?な裏ワザ
副業には無料ブログをおすすめしない3つの理由。一言にすると、リスクが高い。タダ?と言えなくもないWordPressを作る裏技で、「稼ぐまで続けられるか」という不安を解消。安いサーバー・最強の無料テーマも。
カードをクリックで、リストへジャンプ

 

タイトルとURLをコピーしました