辞書攻撃(ブルーフォース攻撃)は、パスワード破りに使用する際に、辞書にある単語を片端から入力して試すことを繰り返します。
最近はボットにより自動で連続的に攻撃を仕掛けます。
この記事を書いたのは
しょーご(@samurabrass)
当ブログ「しょーごログ」の運営者。2018年からWeb制作・フロントエンドエンジニアとして主にWordPressでのサイト制作やシステム開発のフロントエンドを担当。同時にブログとYouTubeで情報発信を行っている。駆け出しエンジニアのコーディング課題添削も行い、スクール講師を4年以上している経験を活かした分かりやすい記事制作を心がけている。
\現役エンジニアのレビュー付き/
実践レベルのコーディング課題公開中
- デザインカンプからのコーディングを経験したい
- 現役エンジニアのレビューを受けてみたい
- 即戦力級のポートフォリオを用意したい
2024年にデザインを完全リニューアルしています!
コーディングに自身をつけるにはプロからのレビューを貰うのが必須なため、制作会社も利用するレビューツールで添削をしています。
Web制作学習ロードマップにも取り入れているため、学習終了まで迷わず進むことが可能です。コーディングを本気で仕事したい方はぜひご活用ください!
\無料の入門編から本格企業サイトまで/
WordPressの基本的なセキュリティ対策
おそらくどのソースでも言われていることですが、WordPressのセキュリティが語られる時は、以下の3つは必ず出てきます。
- 最新版にアップデートする
- 信頼できるプラグインを
- パスワードは自動生成したものを使う
簡単に説明します。
最新版にアップデートする
ぶっちゃけ一番大事です。
オープンソースで誰でも内側の動きがわかるということは、いずれセキュリティを突破されるリスクがあるということ。
使うのは常に対策を施された最新版です。
信頼できるプラグインを
WordPressに行われる攻撃の4割がプラグイン経由です。
信頼できるプラグインは、単純に
- ある程度評価が付いていて
- WordPress.orgで配布されている
ものから使うようにしましょう。
パスワードは自動生成したものを使う
みなさんパスワードはどう設定されていますか?
先ほど「辞書攻撃」というワードを出しましたが、その名の通り辞書に載っている言葉なら片っ端から自動的に試してきます。
記号や数字を使用したパスワードを生成してくれるジェネレータで出したものを使うようにしましょう。
SiteGuard WP Pluginを使う
ここまではみなさんされてると思いますが、それでもサイトが乗っ取られるリスクは完全にセロにはできません。
先日以下のツイートをしたのですが、
wordpressの管理画面に入るのに、
- example.jp/wp-login.php
- example.jp/wp-admin
- example.jp/login
- example.jp/admin
- example.jp/dashboard
この5つから管理画面入れちゃうって怖くないです(^◇^;)?
それを簡単に防止できちゃうのですよ、そう、SiteGuard WP Pluginならね!
ネットセキュリティ大手であるJP-Secureが提供しているため信頼できますし、日本語ドキュメントありです。
SiteGuard WP Pluginをダウンロード
まずはSiteGuard WP Pluginをダウンロードします。
すると、
このような表示が見えるので、新しいログインページURLをクリックします。
ログイン画面に移行するので、その時のURLを控えてください。
このURLは登録してあるメールアドレスにも届きますが、絶対に忘れないようにどこかに残しておきましょう。
仮に忘れてしまったら、FTPで.htaccessファイルを見ることで確認できるようです。
また、地味にログイン画面も「画像認証」が追加されています。
辞書攻撃を海外からボットで行う場合
- ボットは文字を判別できない
- ひらがなは英語よりハードルが高い
このため、画像認証機能は非常に効果が高いです。
ここまでで、ダウンロードしただけで以下の効果が付与されました。
- ログイン画面のURL変更
- 画像認証機能
- ログイン時にログイン情報のメール送信(不正アクセスかすぐわかる)
- ログイン履歴
項目たくさん追加されてる( ゚д゚)
この項目の中でも、SiteGuard WP Pluginで簡単にできてかつ効果の高い対策がまだありますので紹介させていただきます。
ハッカーはどこから来るかわからないので…
管理ページアクセス制限
公式の説明はこうです。
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。
ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。
ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。
24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。
この機能を除外するURL(/wp-admin/以降)を指定することができます
デフォルトではOFFになっています。
これで、ログインしたときのないIPアドレスからwp-adminなどにアクセスされた時に404で返すことができます。
普段自宅かオフィスか、ある程度固定の場所で作業される方はONがいいかと思います。
逆に私は流動的に移動して作業するので、都度404を返されるのがストレスフルなのでデフォルトのOFFにしております。
ログインロックの設定
画像の通りの設定で良いかなと思います。
先ほどの辞書攻撃ではボットでなんどもアクセスを試みてくるので、失敗を繰り返した場合ロックするようにしています。
3回だと操作に慣れていない方がロックされるリスクがあるので、10回としました。
海外からアクセスする場合は絶対にVPNも
国外でWordPressの管理画面に入る場合は別途VPNを繋ぐ必要があります。
詳しい説明は省きますが、ハッキングのリスクが大幅に高まるため、世界VPNなどで対策を必ずおこないましょう。
WordPressのセキュリティはこれで万全…?
多くのサイトを確認してみましたが、セキュリティ対策を行なっていない場合の方が多いようです。
早稲田大学はきちんとしています。さす早稲
母校の新潟大学はログイン画面に入れてしまいました(あえてログイン画面は貼りませんが…対策した方がいいかもです…😞)
全てのサイトに行うのは面倒ですが、セキュリティ面や公共性の高いもの、高PV数のサイトはぜひセキュリティ対策を行いましょう。
ハッカーは今日も元気にハッキングボットを走らせて隙間を伺っています(^◇^;)
公式日本語ドキュメント
参考文献
私の愛用書になります(10冊近くみてきた中で最良書)
辞書的な本で、これ一冊あればセキュリティまで含めて十分かと思います。
ぜひお手元に一冊☺️
ご寄付を頂けると今後の更新の励みになります!
