WordPressのセキュリティ対策はしてますか?
先日、いつも読ませて頂いているブログでWordpressの管理画面への不正アクセスの記事を見ました。
上の記事にもありますが、Wordpressを乗っ取るのに一番簡単な方法の一つが管理画面へのブルート・フォース・アタック( Brute Force Attack)です。
ちなみにブルート・フォースとは「力ずくで、強引に」という意味で、ブルート・フォース・アタックというのは、要はログインID, パスワードを機械的に生成して行う総当たり攻撃の事ですね。
詳しい説明は避けますが、Wordpress(ブログ)には、ログインIDやパスワードのヒントが結構載ってます。そこを起点に機械的にゴニョゴニョ・・・というのが良くある攻撃パターンでしょうね。
(なのでログインIDやパスワードに「ハンドルネーム+数字」とか「SNSのID関連」とかはマジで止めましょう!総当たり回数の桁が1つ2つ減りますのでw)
と言いつつ、僕もそういやWordpressの管理画面のセキュリティ対策ってしてませんでしたが、今日は重い腰を挙げて、管理画面のセキュリティ対策を打ちましたのでシェアしたいと思います。
SiteGuard WP Pluginを使えば簡単だったよ
今回紹介するのが「SiteGuard WP Plugin」というWordpressプラグインを使う方法です。
まずはいくつか特徴を見て行きましょう。
SiteGuard WP Pluginは日本語対応!
管理画面への不正アクセス対策用プラグインは他にもありますが、このプラグインをおススメする理由の一つが日本語で利用できる点ですね。
(このプラグインは、株式会社ジェイピー・セキュア(JP-Secure)という日本企業が開発したものなので)
一つのプラグインで様々な不正アクセス対策ができる
SiteGuard WP Pluginの主な機能は下表の通りです。
管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
ログインページ変更 | ログインページ名(URL)を変更します。 |
画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
ログインアラート | ログインがあったことを、メールで通知します。 |
フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
ピンバック無効化 | ピンバックの悪用を防ぎます。 |
WAFチューニングサポート | WAF (SiteGuard Lite)の除外ルールを作成します。 |
日本語を読みつつ設定して行けば良いので簡単に設定が終わります。
これだけの機能が揃っていれば、SiteGuard WP Plugin一つで不正アクセス対策は大体事足りそうですね。
ポイントだけザックリ説明します
SiteGuard WP Pluginは日本語対応されてますし、設定画面もかなり解りやすいので、基本的にはプラグインの設定画面の説明を読んで行けば簡単に設定出来ると思いますが、一応ポイントだけ解説しておきます。
ログインページ変更
これは、ログインページのURLを変更してくれる機能です。
そもそもWordpressのログインページは、wp-login.php固定なので、大抵の総当たり攻撃はこのページを狙ってきますので、ログインページのURLを代わっていれば、それだけ攻撃を受ける可能性は低くなります。
SiteGuard WP Pluginでは任意のURLに変更できますので、これは必ず設定しておきましょう。
画像認証
これは、ログインページ、コメント投稿に画像認証を追加する機能です。
WordPressは、IDとパスワードでログインする仕様ですが、機械で読み取り難い3つ目の要素を追加するだけで乗っ取られる可能性は大幅に低減します。
ログインの時に多少面倒になりますが、これも設定しておきましょう。
ログイン詳細エラーメッセージの無効化
これは少し解り難いかもしれませんが、Wordpressの基本仕様は、ログインページで、ID、パスワードの入力を間違えると、IDとパスワードのどちらか(あるいは両方)が間違っているかをエラーメッセージで教えてくれます。
という事はエラーメッセージをトラップしながら総当たりしていけば、ID、パスワードが正しければメッセージが変わって解るという寸法です。
これも不正アクセス対策としてはマズイですよね。
SiteGuard WP Pluginでは、固定メッセージに代えてくれますので、これも設定しておきましょう。
ログインロック
これはログイン失敗を繰り返したら、そのIPからのアクセスを一定期間ロックする機能です。
総当たり攻撃というのは、正解にたどり着くまでログイン失敗を繰り返す手法ですので、一定期間ロックするだけで攻撃に要する時間をかなり延ばす事ができます。
まとめ
以上をまとめます。
- SiteGuard WP PluginでWordPressの不正アクセス対策してみたよ。
- 日本語なのは嬉しいね。
- おかげで設定も迷わずできました。
といったところです。
概ね5分もあれば設定できると思いますので、不正アクセス対策を実施してない方は一度試してみてはいかがでしょう。
以上、参考になれば幸いです。^^