WordPressのログインをSiteGuardで守る方法
こんにちは!Aoneko( @blue_cats03)です。
今回は、WordPressのプラグイン「SiteGuard」を使用して、サイトのログインセキュリティを高める方法を紹介します。
この記事をエントリーした理由の1つにWordPressを狙ったハッカーのサイバー攻撃が多発しているという背景があります。この件に関しての詳しい内容は過去の記事に記載してます。
なお、「SiteGuard WP Plugin」のインストールや初期設定の方法などは別の記事(WordPressのログインURLを守る方法【不正アクセス対策】)に記載しておりますので、「SiteGuard」の導入方法などを知りたい方は、まずはコチラの記事からお読みください。
WordPressの初期設定はセキュリティ的に脆弱である
そもそも、WordPressの初期設定ではIDとパスワードを入力するだけでログインが可能です。
ハッカーは、IDとパスワードを総当たりで推測するブルートフォース攻撃や流出したパスワードから推測するパスワードリスト攻撃、よく使われるパスワードをリスト化してログインしようとする辞書攻撃などを仕掛けてきます。
このような理由から、WordPressの初期設定のままでは、IDとパスワードの入力だけでログインできてしまうため、ハッキングされるリスクが高いと言えます。
出典:当サイト作成
WordPressの初期設定は脆弱
WordPressにログイン試行制限をかける
上述したようにハッカーは、様々な方法でハッキングしてきますが、不正ログインをしようとする場合、いきなり正しいIDとパスワードを入力することは多くありません。
総当たり攻撃や辞書攻撃、パスワードリスト攻撃を行おうとしても、何回も試してログインしようとするものです。
それらの攻撃を防ぐためには、ログインを試そうとする回数に制限をかけることで対応が可能です。例えば、ログインの試行回数を5回に設定しておけば、5回のうちに正しいIDとパスワードを入力できなければ、そのIPアドレスやブラウザからのログインができなくなる、というような設定です。
ログイン試行回数制限をWordPressに設定するには、プラグインを使うのが最も簡単です。その中でも、「SiteGuard WP Plugin」が日本語に対応しているので、簡単に設定できます。
SiteGuard WP Pluginでログイン試行制限をかける
それでは、日本語に対応している「SiteGuard WP Plugin」を利用してログイン回数制限を設ける方法を解説します。
「SiteGuard WP Plugin」のメニュー内の「ログインロック」をクリックすると、ログイン試行回数制限を設定できます。
出典:当サイト作成
SiteGuardの設定状況画面
何秒間に何回ログインを試みたらロックするか、ということを期間、回数で選択します。
また、ロック時間は、上の条件に当てはまった接続元IPアドレスに対して、どれだけの時間、
ログインを試させないかを選択します。
出典:当サイト作成
SiteGuardのログインロック設定画面
基本的には初期設定のままで問題ないですが、回数を少なくしすぎると、本当の管理者がログインを失敗したときにロックされてしまうので、サイト運営上、使いやすい設定にしておきましょう。
また、ページ上部のON/OFFのボタンは黒くなっているものが選択されている状態です。初期設定でもONになっているのですが、OFFになっている場合は、ONに変更して、「変更を保存」ボタンをクリックします。
「設定を保存しました」と表示されれば設定完了です。
SiteGuard WP Pluginで画像認証を設定する
CAPTCHAとは "Completely Automated Public Turing test to tell Computers and Humans Apart" の略であり、人間とコンピューターを判別するものです。
ログインフォームや、メールフォームの下などに表示される画像の文字を読み取り、入力する
ことによって人間だと判別するものです。
画像認証と呼ばれることも多く、コンピューターによる不正なアクセス対策として有効です。
「SiteGuard WP Plugin」のメニュー内の「画像認証」をクリックすると、ログインページ、コメント投稿に画像認証を追加することができます。
出典:当サイト作成
SiteGuardの設定状況画面
出典:当サイト作成
SiteGuardの画像認証設定画面
「SiteGuard WP Plugin」の初期設定では、画像認証はONになっています。
ログインページのほか、コメントページ、パスワード確認ページ、ユーザー登録ページにも設定することができるので、スパムコメント対策にもなります。
各項目ごとに、ひらがな、英数字、無効と、選択が可能ですが、オススメはひらがなです。
英数字の場合、ID・パスワードがバレてしまった場合、海外の人が手動で不正ログインできてしまいますが、ひらがなにしておくと日本語の分からない外国人には入力できないというメリットがあります。
設定が完了したら、ON・OFFのボタンがONのほうが黒になっているのを確認し、「変更を保存」ボタンをクリックします。
出典:当サイト作成
ログインページの画像認証追加前後
ログイン制限と画像認証を設けることによってサイトのセキュリティが高まります。
WordPressセキュリティ大全が役立った
今回、当サイトのセキュリティを強化する際に「WordPressセキュリティ大全」の本を参照しました。
「パスワードの管理」、「データベースの守り方」、「SSL」、「パスワードの二段階認証」などを具体的に実行するためのやり方がくわしく書かれています。「WordPressセキュリティ大全」のおかげで、サクサクと作業をすることができました。
ユーザーの反響もいい感じです。
本日の業務の締めは「WordPressセキュリティ大全」。主にプラグインの紹介だったけど、基本のセキュリティ対策がまとまっていて一冊あるとありがたい。
これから家に帰って自分のサイトのセキュリティ対策をしよう。
本日もお疲れ様でした! pic.twitter.com/kUB4fJyHMJ— なごみ@Web制作 753DESIGN (@nagomixxxx) December 5, 2019
【電子書籍】Kindle、楽天koboのご購入はコチラから。
Kindle unlimited(30日無料)で『WordPressセキュリティ大全』を読む
お手持ちのスマホ、タブレット、パソコンでいつでも読むことができる、デジタルな本、Kindle Unlimitedは「30日間の無料体験」が利用できます。
Amazonの電子書籍(Kindle Unlimited)
通常月額980円が新規登録なら30日無料で試せます!漫画や雑誌、ビジネス書などもありますし、対象の書籍なら読み放題。
家で退屈しそうなら、電子書籍がおすすめ!#お家で過ごそう
登録はこちらリンクより⇒https://t.co/lXjX5bm2ZG pic.twitter.com/lHbOhu3q3J— Aoneko Lab (@blue_cats03) April 10, 2020
今回紹介した『WordPressセキュリティ大全』もKindle にて読むことができます。
本当に無料なの?解約できるの?
はい、大丈夫です。
Kindle Unlimitedの公式HPにはっきり「30日間無料」と記載されています。追加料金は一切かかりません。無料体験できる方の条件としては、これまでにKindle Unlimitedをご利用いただいたことがない方になります。
これまでにKindle Unlimitedをご利用いただいたことがない方は、無料でお試しいただけます。無料体験期間が終了すると、自動的に月額料金プランの料金が請求されます。
(引用:Amazon公式サイト, Kindle Unlimitedについて)
30日以内に解約すれば料金はかかりません。
