WordPressのログインをSiteGuardで守る方法

security_wordpress

スポンサーリンク

WordPressのログインをSiteGuardで守る方法

こんにちは!Aoneko( @blue_cats03)です。

今回は、WordPressのプラグイン「SiteGuard」を使用して、サイトのログインセキュリティを高める方法を紹介します。

この記事をエントリーした理由の1つにWordPressを狙ったハッカーのサイバー攻撃が多発しているという背景があります。この件に関しての詳しい内容は過去の記事に記載してます。

なお、「SiteGuard WP Plugin」のインストールや初期設定の方法などは別の記事(WordPressのログインURLを守る方法【不正アクセス対策】)に記載しておりますので、「SiteGuard」の導入方法などを知りたい方は、まずはコチラの記事からお読みください。

 

WordPressのログインURLを守る方法【不正アクセス対策】
不正アクセスやWeb改ざんからあなたのWordPressサイトを守る方法を解説。SiteGuard(ワードプレス プラグイン)を導入してサイトのURLを変更しましょう。SiteGuardでは、簡単にお好みのログインURLに変更できます。

 

WordPressの初期設定はセキュリティ的に脆弱である

そもそも、WordPressの初期設定ではIDとパスワードを入力するだけでログインが可能です。

ハッカーは、IDとパスワードを総当たりで推測するブルートフォース攻撃や流出したパスワードから推測するパスワードリスト攻撃、よく使われるパスワードをリスト化してログインしようとする辞書攻撃などを仕掛けてきます。

このような理由から、WordPressの初期設定のままでは、IDとパスワードの入力だけでログインできてしまうため、ハッキングされるリスクが高いと言えます。

 

hacker

出典:当サイト作成

WordPressの初期設定は脆弱

 

WordPressにログイン試行制限をかける

上述したようにハッカーは、様々な方法でハッキングしてきますが、不正ログインをしようとする場合、いきなり正しいIDとパスワードを入力することは多くありません。

総当たり攻撃や辞書攻撃、パスワードリスト攻撃を行おうとしても、何回も試してログインしようとするものです。

それらの攻撃を防ぐためには、ログインを試そうとする回数に制限をかけることで対応が可能です。例えば、ログインの試行回数を5回に設定しておけば、5回のうちに正しいIDとパスワードを入力できなければ、そのIPアドレスやブラウザからのログインができなくなる、というような設定です。

ログイン試行回数制限をWordPressに設定するには、プラグインを使うのが最も簡単です。その中でも、「SiteGuard WP Plugin」が日本語に対応しているので、簡単に設定できます。

 

SiteGuard WP Pluginでログイン試行制限をかける

それでは、日本語に対応している「SiteGuard WP Plugin」を利用してログイン回数制限を設ける方法を解説します。

「SiteGuard WP Plugin」のメニュー内の「ログインロック」をクリックすると、ログイン試行回数制限を設定できます。

 

SiteGuard WP Plugin_login_lock

出典:当サイト作成

SiteGuardの設定状況画面

 

何秒間に何回ログインを試みたらロックするか、ということを期間、回数で選択します。
また、ロック時間は、上の条件に当てはまった接続元IPアドレスに対して、どれだけの時間、
ログインを試させないかを選択します。

 

SiteGuard WP Plugin_login_lock

出典:当サイト作成

SiteGuardのログインロック設定画面

 

基本的には初期設定のままで問題ないですが、回数を少なくしすぎると、本当の管理者がログインを失敗したときにロックされてしまうので、サイト運営上、使いやすい設定にしておきましょう。

また、ページ上部のON/OFFのボタンは黒くなっているものが選択されている状態です。初期設定でもONになっているのですが、OFFになっている場合は、ONに変更して、「変更を保存」ボタンをクリックします。

「設定を保存しました」と表示されれば設定完了です。

 

SiteGuard WP Pluginで画像認証を設定する

CAPTCHAとは “Completely Automated Public Turing test to tell Computers and Humans Apart” の略であり、人間とコンピューターを判別するものです。

ログインフォームや、メールフォームの下などに表示される画像の文字を読み取り、入力する
ことによって人間だと判別するものです。

画像認証と呼ばれることも多く、コンピューターによる不正なアクセス対策として有効です。

「SiteGuard WP Plugin」のメニュー内の「画像認証」をクリックすると、ログインページ、コメント投稿に画像認証を追加することができます。

 

CAPTCHA

出典:当サイト作成

SiteGuardの設定状況画面

 

CAPTCHA_ninsyo

出典:当サイト作成

SiteGuardの画像認証設定画面

 

「SiteGuard WP Plugin」の初期設定では、画像認証はONになっています。

ログインページのほか、コメントページ、パスワード確認ページ、ユーザー登録ページにも設定することができるので、スパムコメント対策にもなります。

各項目ごとに、ひらがな、英数字、無効と、選択が可能ですが、オススメはひらがなです。

英数字の場合、ID・パスワードがバレてしまった場合、海外の人が手動で不正ログインできてしまいますが、ひらがなにしておくと日本語の分からない外国人には入力できないというメリットがあります。

設定が完了したら、ON・OFFのボタンがONのほうが黒になっているのを確認し、「変更を保存」ボタンをクリックします。

 

CAPTCHA_before_after

出典:当サイト作成

ログインページの画像認証追加前後

 

あおねこ
あおねこ

ログイン制限と画像認証を設けることによってサイトのセキュリティが高まります。

 

 

【関連記事】様々な方法で、WordPressで作成されたあなたのサイトのセキュリティを強化することができます。別の記事にもセキュリティを強化する方法を記載しておりますので、よかったらコチラも読んでみてください。

 

WordPressのログインURLを守る方法【不正アクセス対策】
不正アクセスやWeb改ざんからあなたのWordPressサイトを守る方法を解説。SiteGuard(ワードプレス プラグイン)を導入してサイトのURLを変更しましょう。SiteGuardでは、簡単にお好みのログインURLに変更できます。

 

WordPressのログインIDをバレなくする方法
WordPressのログインIDと投稿者アーカイブは紐づいているため、初期段階のままだとログインIDはバレバレです。Edit Author Slugのプラグインをインストールすることによって、ログインIDの露出を防ぐことができます。

 

XSERVERでWordPressのログイン制限をかける方法
XSERVERは管理画面から簡単にID・パスワードによるアクセス制限をかける機能が用意されています。XSERVERの管理画面からWordPress(ワードプレス)サイトのID・パスワードによるアクセス制限をかけるやり方を紹介します。

 

安全なパスワード設定
安全で強いパスワードの設定方法を紹介。パスワードの適切な長さは10桁以上。パスワードの使い回しはNGです。パスワードの保存方法は、LastPass, 1Password, Google Password Managerがオススメです。

 

WordPressセキュリティ大全が役立った

今回、当サイトのセキュリティを強化する際に「WordPressセキュリティ大全」の本を参照しました。

「パスワードの管理」、「データベースの守り方」、「SSL」、「パスワードの二段階認証」などを具体的に実行するためのやり方がくわしく書かれています。「WordPressセキュリティ大全」のおかげで、サクサクと作業をすることができました。

ユーザーの反響もいい感じです。

 

 

 

【電子書籍】Kindle、楽天koboのご購入はコチラから。

 

Kindle unlimited(30日無料)で『WordPressセキュリティ大全』を読む

お手持ちのスマホ、タブレット、パソコンでいつでも読むことができる、デジタルな本、Kindle Unlimitedは「30日間の無料体験」が利用できます。

 

 

今回紹介した『WordPressセキュリティ大全』もKindle にて読むことができます。

 

 

 

ごりら君
ごりら君

本当に無料なの?解約できるの?

 

あおねこ
あおねこ

はい、大丈夫です。

 

Kindle Unlimitedの公式HPにはっきり「30日間無料」と記載されています。追加料金は一切かかりません。無料体験できる方の条件としては、これまでにKindle Unlimitedをご利用いただいたことがない方になります。

 

これまでにKindle Unlimitedをご利用いただいたことがない方は、無料でお試しいただけます。無料体験期間が終了すると、自動的に月額料金プランの料金が請求されます。

(引用:Amazon公式サイト, Kindle Unlimitedについて)

 

 

あおねこ
あおねこ

30日以内に解約すれば料金はかかりません。

 

 

Wordpress
Aonekoをフォローする
Aoneko Lab