1年以上ブログをやっていると出てくる問題として、ブログに対する不正ログイン(ブルートフォースアタック)というものがあります。
当方のブログの低い認知度であっても割と頻繁にログイン試行が行われるので、有名なブログなどは常にその被害予備軍なのかと思います。
そのような不正ログインに対してできるだけリスクを低減するために行った対策のうち効果的だったものを今回は紹介します。
なお、今回は技術的に難しいことは避け、できるだけプラグインで解決できるものを紹介します。
ログイン用URLの変更
基本的にログイン用のURLは総当たり攻撃によってばれることがほとんどですが、そもそも何もログイン用URLを変更していなければその総当たりの一発目でばれてしまいます。
そんな時に有効なのがログイン用URLを変更するという対策です。
ログイン用URLに関するプラグインはたくさんありますが、私は特に人気の”WPS Hide Login”をお勧めします。
こちらは非常にシンプルな設計となっており、ログインページのURLを簡単に変更することができます。[設定]>[WPS Hide Login] より設定画面に行き以下のように設定します。
こちらは定期的に変更するとより強力になります。また、必ず変更後のURLを忘れないようにしましょう。
ユーザーIDの変更
次に、デフォルトのユーザーIDだとパスワードを総当たりで攻撃されて情報漏洩のリスクが高くなります。しかし、WordPressの基本設定にはユーザーIDの変更という設定がありません。
実際に私のアカウントに対しても”test” や”admin”、”toufulog”など推測されやすいユーザー名よりログインを試みる不届きものが後を絶ちません。
そこで、ユーザーを新規作成して任意のユーザーIDを登録するという方法でユーザーIDを変更します。
まずは現在のアカウントを使って新規ユーザーを追加します。
新規ユーザーを作る際、権限グループは管理者にしておきます。
ユーザーを追加したら新規アカウントでログインし、古いユーザーを削除します。
この時、記事をすべて引き継ぐかどうかを聞かれます。個人でやっている人がほとんどかと思いますので、個人ブロガーなどはすべて引き継ぎましょう。
ここで更に表示するユーザー名を変更します。基本的にここを変更しないとかなりの確率でIDがばれます。
これをするだけで不正ログインの確率がとても下がります!!
ログイン制限
さらに、ダメ押しとしてログイン制限のプラグインを導入することで不正ログインしようとしたユーザーに対して一定時間ログイン機能をロックすることができます。
ここまですると不正ログインの可能性はだいぶ下がります。
私がおすすめするプラグインは”Limit Login Attempts Reloaded”です。
こちらもWPS Hide Loginと同様、プラグインストアにて検索していただければ出てくるかと思います。
こちらでは、不正ログインを試みたIPに対して一定時間のログイン制限をかけるプラグインになっており、設定も簡単なので手軽にセキュリティ対策が行えるおすすめツールとなっています。
こちらの設定により、ロックする条件などを設定することができます。
例えば、上の例の場合は失敗は一度のみ許されますが、2回失敗すると失敗したIPが999分間ロックされ、さらに一度ロックされると次に試行できるのは96時間、またリトライ数がリセットされるには1234時間待たなければいけません。
他にも、この設定の上部には不正ログイン検知時にメールを送信する設定もあります。
自身のサーバーとWordPressにてSMTPなどのメール設定が完了していればこちらの不正ログイン検知メールの機能も使うことができます。
メール設定はあらゆる場面で便利なのでぜひやっておくことをお勧めします。
以上、WordPressにて不正ログインを効果的に対策する方法でした!!
コメント