今年もWordPressのユーザーが激増しそうです。初心者さんに優しい環境が整ってきたおかげでしょう。
WordPressをワンクリックで、簡単にインストールできるレンタルサーバーが増えてます。データベースをセットアップする必要や、FTP経由でファイルを送受信する必要もなく、専門スキルがなくても気軽にWordPressでのブログ更新を楽しめます。
その一方で、WordPressを狙う悪質な攻撃も増えてます。
セキュリティ関連は、Webを本職にしてても苦手な人が多く、趣味でブログを運営している初心者さんにとってはなおさら。「なにも対策してないや」という人の方が多いのではないでしょうか。
そこで今回、ひとつプラグインをピックアップしてみました。WordPressを「ブルートフォースアタック」から守る『SiteGuard WP Plugin』というプラグインです。
ブルートフォースアタックは、WordPressのログインファイル(wp-login.php)にアクセスし、ログインを繰り返し狙う悪質な攻撃のことです。
IDとパスワードの組み合わせをランダムに何通りも試すことで、ログインの壁を突破しようとします。言ってみると「数撃ちゃ当たる」。原始的な方法ですが、意外にあなどれません。WordPressの公式サイトでも取り上げられるくらいに、ブルートフォースアタックによる被害者の数は増加の一方です。
今回紹介する『SiteGuard WP Plugin」は、ブルートフォースアタックからWordPressを守るための防御方法がひと通り揃ってます。初心者さんでも数回のクリックで、インストールからセットアップまで行えます。今まで必要だとは思いながらも、技術的なハードルを理由に敬遠してきた人は、これを機にぜひ試してみてください!
SiteGuard WP Plugin
開発元と公式のプラグインディレクトリーは上のリンクで。もちろん、WordPressの管理画面から検索し直接インストールもできます。
ダッシュボード
インストールしたら、まずはダッシュボードを見てみましょう。このプラグインでどんなセキュリティ対策ができるのかを教えてくれます。
緑のチェックマークが付いてる箇所が現在「ON(有効」になっているセキュリティ対策です。
その下に「ログイン履歴」があります。成功/失敗を問わず、ログインしようとしたユーザーを記録してくれてますよ。
二行目を見ると怪しい履歴が!
「im-a-hacker」というユーザーがログインに失敗したことがわかります。
こわいですね〜。(この記事のための自作自演なのでご心配なく)
もしパスワードが割られていたら、不正なログインを許し、WordPressの中身をひっちゃかめっちゃかにされてたところです。
それを防ぐためのセキュリティ対策。ボクの設定はこんな感じ。ひとつずつ見ていきましょう。
管理ページアクセス制限 → ON
ログインしてないユーザーを、WordPressの管理画面へアクセスできないように設定します。
WordPressの管理画面のURLは「http://ドメイン/wp-admin/」です。ログインせずにアクセスすると「404エラー」を返します。
これによって管理画面へ侵入を防ぎ、管理画面に関わるファイルへの攻撃も防御します。
画像認証 → ON
ログイン画面に画像認証を設置できます。「ON」にすると、ログイン画面はこんなふうに。
ユーザー名&パスワードと一緒に、画像で示された「ひらがな」も入力しなければなりません。ユーザー名とパスワードにもう一つ認証を合わせることで、不正ログインを難しくします。
ボクは「Mars Edit」というブログ更新ツールを利用してるので、この画像認証はOFFにしてます。それ以外の人はONにしておいたほうがいいでしょう。
ログインページ変更 → ON
WordPressのログインページを別のURLに設定できます。
WordPressのログインページのURLは、通常「http://ドメイン/wp-login.php」です。周知のURLを別のURLに変更することで、攻撃されにくくなります。
URLを変更後、そのURLを忘れてしまったら、下記の方法で取得できます。意外に多いトラブルだと思いますので、頭のスミにでも置いておいてください。
WordPressのインストールディレクトリにある .htaccessファイルを開くと、以下のような記述があります。
RewriteRule login_xxxxx(.*)$ wp-login.php$1 [L]
この中の login_xxxxx という部分が新しいログインページのURLです。
ログイン詳細エラーメッセージの無効化 → ON
ログイン失敗時のエラーメッセージを常に同じ内容に設定します。
通常はログインに失敗すると、失敗の原因を詳しく教えてくれる親切なWordPress。この機能をONにしておくことで、ログイン失敗の原因を隠しておけます。
ログインロック → ON
繰り返しログインに失敗したユーザーを一定時間ロックできます。
不正にログインしようとする輩は、主に機械的なプログラムを利用して、連続的に攻撃してきます。それを一定時間、無視できる機能です。
ログイン アラート → ON
ONにしておくと、管理画面へのログインを通知してくれます。不正なログインにいち早く気づけます。
フェールワンス → OFF
ONにしておくと、初回のログインを必ず失敗へ導きます。
不運にもログインを突破されたとしても、初回の一度を失敗させることで、正しいIDとパスワードの組み合わせを誤っているように偽装できます。
ボクは「OFF」にしてます。ログインする頻度が多く、有効にしておくのはちょっと面倒だなと思って。
ピンバック無効化 → ON
ピンバックによる不正な攻撃を防げます。
ピンバックはブログにリンクが張られたことを通知する機能です。この機能を悪用したDDos攻撃というものがあります。大量のアクセスを特定のサイトに送ることで、サーバーへ負担をかけダウンさせてしまう攻撃で、何度か派手なニュースにもなってます。
ピンバック機能を無効にしておくと、防げます。
WAFチューニングサポート → OFF
WAFをWordPressでうまく利用するための設定項目ですが、WAFを使ってないのでOFFにしてます。
以上!
WordPressを狙う攻撃には、他にもシステムやプラグインの脆弱性を狙ったものがあります。色々と必要なセキュリティ対策のうち、まずは簡単なものから始めてみてはいかがでしょうか。
