WordPressの不正ログインを防止する為の5つの対策

スポンサーリンク
不正ログイン

パスワードは覚えきれないのでいつも同じもので設定してしまってたなんパパです。

『WordPressでブログを始める初心者が不正ログインされない為にしておきたいセキュリティ対策』についてお伝えしていきます。

不正ログインなんてIDとパスワードを誰かに教えたりしない限り大丈夫じゃないの?

WordPressを使う時にはWordPressのログイン画面でIDとパスワードを入力してログインします。

正直、このIDやパスワードを覚えやすい単純な設定にしていませんか?

でもこれだとセキュリティの面ではかなり危険です。

万一、不正ログインされてしまうととりかえしのつかない事態になってしまいます。

そこで最低限の不正ログイン防止対策として簡単にできる方法を紹介していきます。

不正ログイン防止の為にすべき5つの対策
  • ログインパスワードを複雑なものに変更する
  • WordPressやプラグインは最新の状態にする
  • 使用していないプラグインは削除する
  • プラグイン【Edit Author Slug】でログインIDがわからないようにする
  • プラグイン【Site Guard】でセキュリティ強化する

「IDとパスワードの両方が知られてしまうなんてあり得ない」、「自分は大丈夫だし関係ない」なんて思っていませんか?

実はログインIDは簡単に知ることが出来てしまいますし、パスワードも簡単なものだと容易に推測されてしまいます。

やっておけば良かったと後悔する前に、不正ログインのリスクをしっかりと理解したうえで対策するようにしましょう。

スポンサーリンク

WordPressに不正ログインされた場合のリスク

WordPressは誰でも簡単にサイト(ブログ)を作れるので個人・企業含め世界中で多くの利用者がいます。

その反面ハッカーにも狙われやすい側面があります。

ではもし不正ログインされたらどんな被害にあうのでしょうか?

不正ログインされた時のリスク
  • ログインできなくなる
  • 投稿記事の改ざん
  • テーマファイルの改ざん
  • サイトを訪問したユーザーの個人情報漏洩

不正ログインされてしまうと、せっかく頑張って作った自分のサイトが悪意のあるサイトに作り替えられてしまいます。

スパム広告を大量に配信やフィッシングサイトへの誘導、ユーザーの個人情報を抜き取ったりなどいろんなリスクがあります。

何より自分の大事に育ててきたサイトが失われ犯罪に使われてしまったら目も当てられません。

1度でも被害に遭ってしまったら次はありません。

だからこそ最初からセキュリティ対策をしっかりと行うことが大切です。

WordPressに不正ログインされない為の対策

では不正ログインを防止する為にはどうすれば良いのか?

初心者でも簡単にできる対策についてお伝えしていきます。

ログインパスワードを変更する

まず最低限しておきたい対策はログインパスワードをわかりやすいものにしないことです。

パスワードを決める時、忘れないように覚えやすいパスワードを設定していませんか?

ダメなパスワードの例
  • 名前や誕生日など推測しやすいもの
  • 英文字、数字だけの組み合わせ
  • ユーザー名やブログ名などに関連したもの
  • 10文字以下の短いもの

今の時代、PCやスマホからいろんなサービス利用することが出来ます。

そのサービスを利用するにあたって会員登録でユーザー名やパスワードを設定する機会も多いです。

その度に違ったパスワードを設定すると、どれがどのパスワードかわからなくなってしまいますよね。

だから、ついつい覚えやすい簡単なものにしてしまいがちです。

けど、わかりやすいパスワードは容易に推測されてしまいます。

また、数字だけや辞書にある言葉だとコンピューターで簡単に解読することも出来るようです。

だからこそ、最低でもパスワードを設定するなら次のことを意識しましょう。

  • 名前や生年月日など想像しやすいのは避ける
  • 英文字+数字+記号の組み合わせ
  • 最低でも10文字以上の長さ(長いほど強固)

もしどれか1つでも該当するならパスワードの再設定をおすすめのします。

【パスワードの再設定するには】

ログインパスワード

【ダッシュボード】→【ユーザー】→【プロフィール】でログインパスワードを再設定できます。

同じパスワードの使いまわしもしないように注意しましょう。万が一どれか1つのサービスからパスワードが漏れてしまった場合、同じパスワードを設定している他のサービスも危険に晒されてしまいます。

最新のバージョンでWordPressを利用する

WordPressだけに限らずプラグインやブログテーマなどは定期的にバージョンアップが行われます。

このバージョンアップはプログラムのバグや不具合、セキュリティ面での脆弱性を改善する為の更新だったりもします。

古いバージョンまま使用していると、こういった部分を狙われてしまうので必ず更新して最新の状態で使うようにしましょう。

アップデート

アップデートがある場合【ダッシュボードの更新】に通知が表示されるので必ず更新しましょう。

使用していないプラグインは削除する

導入しているが使っていないプラグインや使用停止にしているプラグインはありませんか?

使用していないプラグインがあるのなら削除するようにしましょう。

更新せずに残しておくだけでも攻撃されてしまうリスクがあります。

必要になったらまた導入すれば良いだけですので不要なプラグインは削除しておきましょう。

【Edit Author Slug】でログインIDがわからないようにする

WordPressにログインする時のログインIDは実は簡単に知ることが出来てしまいます。

ログインID

ブログのURLの最後に【?author=1】と入力すると

ログインID2

基本的に何も対策していないとURLの最後にID名が表示されてしまいます。

これでログインIDはわかってしまうので、あとはパスワードさえわかれば簡単に不正ログインされてしまいます。

そこでおすすめなのが【Edit Author Slug】というプラグインです。

Edit Author Slug1

【ダッシュボード】→【プラグイン】→【新規追加】で【Edit Author Slug】を入力して【今すぐインストール】→【有効化】をする。

Edit Author Slug2

すると【ユーザー】→【プロフィール】で【投稿者スラッグ】の項目で設定できるようになります。

カスタム設定で自由に設定も出来ますが、上記の箇所にチェックで良いかと思います。

ではどのように表示されるか見てみましょう。

ログインID3

選択した部分が表示されていますね。

これでログインIDがわからないように設定できました。

【Site Guard WP Plugin】を使う

こちらも不正ログイン対策におすすめのプラグインで導入しておくと安心です。

site guard1

【ダッシュボード】→【プラグイン】→【新規追加】で【SiteGuard WP Plugin】を入力して【今すぐインストール】→【有効化】をする。

site guard14

有効化すると上記のメッセージが表示されます。

新しいログインページURLをクリック】すると新しいログインページに移動します。

移動した先の新しいログインページは必ずブックマークしてください

では管理画面から行える設定についてみていきます。

site guard2

有効化するとダッシュボードに【SiteGuard】が表示されます。

デフォルトでいくつかの項目にチェックが入っています。

site guard3

私の場合はとりあえず上記の4箇所を設定しています。

次に各項目の詳細を説明していきますので、本記事を参考に好みにあわせて設定してください。

管理ページアクセス制限

site guard7

ここをONにすると、新しいログインURLでログインしていない接続元のIPアドレスから【https:サイトURL/wp-admin/】にアクセスしても管理画面にアクセス出来ないようになります。

また、24時間以上ログインが行われない接続元IPアドレスは削除されるので再度新しいログインURLからログインが必要です。

つまり新しいログインURLからログインしないとアクセス出来なくなるということです。

ログインページ変更

通常、管理者ページのログインURLは【https:サイトURL/wp-login.php】になっています。

このログインURLが【Site Guard WP Plugin】有効化すると自動的にログインページのURLが【https:サイトURL/login_○○○○○】に変更されます。

この設定をすると、専用のログインページのURLがわからないと管理ページにログイン出来ないように設定が出来ます。

site guard4

ログインページ名は【login_○○○○○(5桁の乱数)】のデフォルトではなく(このプラグインを知ってると予想しやすいので)、好みの名前に変更しましょう。

オプションの項目にチェックを入れる
→ログインしていない状態で【/wp-admin/】にアクセスした場合に404 Not Foundとなり、変更されたログインページにリダイレクトされなくなる。

変更したログインページのURLはメモやブックマークするなど忘れないようにして下さい。忘れるとログイン出来なくなってしまいます。

【忘れてしまった場合】

site guard mail

もし、忘れた場合は変更通知のメールでも確認することができます。

画像認証

site guard5

ここでは画面認証の文字を設定できます。

海外からの攻撃をしづらくする為に英数字ではなく【ひらがな】に設定しておきましょう。

site guard6

画像認証を求められるようになります。

ログイン詳細エラーメッセージの無効化

site guard8

ログインエラーのメッセージからエラーの詳細(IDエラーかパスワードエラー等)がわからないようにする為、同じエラーメッセージが表示されます。

ログインロック

site guard9

設定した内容でログイン失敗するとロックがかかるようになります。

短時間でログイン試行を繰り返す機械的な攻撃から防御出来ます。

デフォルト設定でOKです。

ログインアラート

site guard10

WordPressにログインがあった時にメールで通知がくるので、不正ログインに気づきやすくなります。

ログインの度に通知が煩わしいと思うならOFFにしておきましょう。

フェールワンス

site guard11

正しいログイン情報を入力しても必ず1回は失敗します。

5秒後60秒以内に再度入力するとログイン出来ます。

XMLRPC防御

site guard15

ピンバックやXMLRPCの無効化設定が出来ます。

ピンバックって何?という場合はピンバックの解説記事を読んでみて下さい。

ユーザー名漏えい防御

site guard16

こちらはOFFのままで良いです。

更新通知

site guard12

WordPressやプラグイン、テーマなどの更新通知があった場合メールで通知してくれます。

WAFチューニングサポート

site guard17

こちらもOFFのままで良いです。

詳細設定

site guard18

こちらはそのままでOKです

ログイン履歴

site guard13

怪しいログイン履歴がないか確認することが出来ます。

WordPressの不正ログイン対策まとめ

WordPressは世界中でユーザーが多くいます。

それだけに不正ログインして悪用しようとするハッカーも数多く存在します。

なにより個人でブログをするならWordPressの運用に関しても自己責任です。

だからこそ最低限の対策は必要です。

不正ログイン防止の為にすべき対策
  • ログインパスワードを複雑なものに変更する
  • WordPressやプラグインは最新の状態にする
  • 使用していないプラグインは削除する
  • プラグイン【Edit Author Slug】でログインIDがわからないようにする
  • プラグイン【Site Guard】でセキュリティ強化する

万が一、不正ログインされて後から後悔しても遅いです。

自分の為にもユーザーの為にも必ずWordPressの不正ログイン対策は行いましょう。

投稿者プロフィール

なんパパ
なんパパ副業ブロガー
副業サラリーマンパパ。
ブログ初心者の為のブログの始め方や挫折の乗り越え方を発信しています。
自身の数々の失敗や挫折した経験を踏まえて記事を書いてますので是非役立てていただければ嬉しいです。
応援の意味を込めてポチしてもらえると励みになります!

ブログランキング・にほんブログ村へ

カテゴリー
セキュリティ対策
スポンサーリンク
なんパパをフォローする
なんパパのブログクエスト

コメント