あなたのWordPressサイトのセキュリティを5分で万全に【SiteGuard WP Plugin】

wordpressのセキュリティ対策
Aくん
Aくん
うーん…
Bさん
Bさん
どうしたの?
Aくん
Aくん
WordPressサイトってセキュリティどうなのかなって。なんか辞書攻撃受けた友達の話聴いてたら心配になっちゃって。やっぱりWordPressはリスキーなのかなぁ…
しょーご
しょーご
そんなことはないよ!WordPressもきちんと設定すれば辞書攻撃仕掛けるボットに対してガチガチにセキュリティを高められるんだ!「SiteGuard WP Plugin」なら簡単だよ。
Bさん
Bさん
簡単ならできそうかも!

辞書攻撃(ブルーフォース攻撃)は、パスワード破りに使用する際に、辞書にある単語を片端から入力して試すことを繰り返します。

最近はボットにより自動で連続的に攻撃を仕掛けます。

Bさん
Bさん
なにそれ怖い…

WordPressの基本的なセキュリティ対策

おそらくどのソースでも言われていることですが、WordPressのセキュリティが語られる時は、以下の3つは必ず出てきます。

  • 最新版にアップデートする
  • 信頼できるプラグインを
  • パスワードは自動生成したものを使う

簡単に説明します。

最新版にアップデートする

ぶっちゃけ一番大事です。

オープンソースで誰でも内側の動きがわかるということは、いずれセキュリティを突破されるリスクがあるということ。

使うのは常に対策を施された最新版です。

信頼できるプラグインを

WordPressに行われる攻撃の4割がプラグイン経由です。

信頼できるプラグインは、単純に

  • ある程度評価が付いていて
  • WordPress.orgで配布されている

ものから使うようにしましょう。

パスワードは自動生成したものを使う

みなさんパスワードはどう設定されていますか?

先ほど「辞書攻撃」というワードを出しましたが、その名の通り辞書に載っている言葉なら片っ端から自動的に試してきます。

記号や数字を使用したパスワードを生成してくれるジェネレータで出したものを使うようにしましょう。

https://www.lastpass.com/ja/password-generator

SiteGuard WP Pluginを使う

ここまではみなさんされてると思いますが、それでもサイトが乗っ取られるリスクは完全にセロにはできません。

先日以下のツイートをしたのですが、

wordpressの管理画面に入るのに、

  • example.jp/wp-login.php
  • example.jp/wp-admin
  • example.jp/login
  • example.jp/admin
  • example.jp/dashboard

この5つから管理画面入れちゃうって怖くないです(^◇^;)?

それを簡単に防止できちゃうのですよ、そう、SiteGuard WP Pluginならね!

ネットセキュリティ大手であるJP-Secureが提供しているため信頼できますし、日本語ドキュメントありです。

SiteGuard WP Pluginをダウンロード


まずはSiteGuard WP Pluginをダウンロードします。

すると、
このような表示が見えるので、新しいログインページURLをクリックします。

ログイン画面に移行するので、その時のURLを控えてください。


このURLは登録してあるメールアドレスにも届きますが、絶対に忘れないようにどこかに残しておきましょう。

仮に忘れてしまったら、FTPで.htaccessファイルを見ることで確認できるようです。

また、地味にログイン画面も「画像認証」が追加されています。


辞書攻撃を海外からボットで行う場合

  • ボットは文字を判別できない
  • ひらがなは英語よりハードルが高い

このため、画像認証機能は非常に効果が高いです。

ここまでで、ダウンロードしただけで以下の効果が付与されました。

  • ログイン画面のURL変更
  • 画像認証機能
  • ログイン時にログイン情報のメール送信(不正アクセスかすぐわかる)
  • ログイン履歴

項目たくさん追加されてる( ゚д゚)

この項目の中でも、SiteGuard WP Pluginで簡単にできてかつ効果の高い対策がまだありますので紹介させていただきます。

ハッカーはどこから来るかわからないので…

管理ページアクセス制限

公式の説明はこうです。

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。

ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。

ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。

24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。

この機能を除外するURL(/wp-admin/以降)を指定することができます

https://www.jp-secure.com/siteguard_wp_plugin/より引用

 

デフォルトではOFFになっています。

これで、ログインしたときのないIPアドレスからwp-adminなどにアクセスされた時に404で返すことができます。

普段自宅かオフィスか、ある程度固定の場所で作業される方はONがいいかと思います。
逆に私は流動的に移動して作業するので、都度404を返されるのがストレスフルなのでデフォルトのOFFにしております。

ログインロックの設定


画像の通りの設定で良いかなと思います。

先ほどの辞書攻撃ではボットでなんどもアクセスを試みてくるので、失敗を繰り返した場合ロックするようにしています。

3回だと操作に慣れていない方がロックされるリスクがあるので、10回としました。

海外からアクセスする場合は絶対にVPNも

国外でWordPressの管理画面に入る場合は別途VPNを繋ぐ必要があります。

詳しい説明は省きますが、ハッキングのリスクが大幅に高まるため、世界VPNなどで対策を必ずおこないましょう。

WordPressのセキュリティはこれで万全…?

多くのサイトを確認してみましたが、セキュリティ対策を行なっていない場合の方が多いようです。

早稲田大学はきちんとしています。さす早稲


母校の新潟大学はログイン画面に入れてしまいました(あえてログイン画面は貼りませんが…対策した方がいいかもです…😞)

全てのサイトに行うのは面倒ですが、セキュリティ面や公共性の高いもの、高PV数のサイトはぜひセキュリティ対策を行いましょう。

ハッカーは今日も元気にハッキングボットを走らせて隙間を伺っています(^◇^;)

公式日本語ドキュメント

https://www.jp-secure.com/siteguard_wp_plugin/

参考文献

私の愛用書になります(10冊近くみてきた中で最良書)

辞書的な本で、これ一冊あればセキュリティまで含めて十分かと思います。

ぜひお手元に一冊☺️