WordPressのセキュリティ対策の中でも特に大切な「ログイン」セキュリティ対策のまとめです。
[adsense]
目次
ユーザー名を分かりにくいものにする
「admin」というユーザー名があったら、即利用やめましょう。
ただ、adminでログインしている場合(他に管理者権限ユーザーが無い場合)は、「admin」を削除できません。
分かりやすいパスワードを止める
単純な単語、数字のみ、URLと同じ文字、一般的な単語など、推測しやすいパスワードは変更します。
表示名の変更
WordPressインストール後の初期設定である「表示名」=「ログインユーザー名」の状態は危険ですので、変更します。
投稿者アーカイブの無効化
WordPress初期設定でアクセス可能な「投稿者アーカイブ」を無効化(URL変更)をします。
ログインページのIPアドレス制限
ログインページにアクセスするユーザーが限定されている場合は、IPアドレス制限すると安心です。
WordPressのインストールされたフォルダにある.htaccessに以下の記述を追記します。
<FilesMatch "wp-login.php|wp-admin"> order deny, allow deny from all allow from ここにIPアドレスを入力する allow from 複数ある場合は複数行入力する </FilesMatch>
.htaccessを編集する方法は、以下2つがあります。
- レンタルサーバーのファイルマネージャ
- レンタルサーバーへFTP接続
画像認証
画像認証とは、画像に表示されている文字をログイン時に入力させる認証方法です。
ログインIDとパスワードを機械的にアタックする攻撃は、この画像認証で効果的に防げます。
≫「SiteGuard WP Plugin」で画像認証を付ける
2段階認証
2段階認証とは、通常のログインID&パスワード認証とは別に、本人確認のための認証を行なうことを言います。
具体的には、SMS(ショートメール)やメールに送付されるパスコードを入力したり、USBメモリーに保存しているパスコードを利用するためにUSBをパソコンに差したり、といったものです。
この2段階認証をWordPressのログインに追加します。
利用するのはGoogleの提供している2段階認証です。
≫Google2段階認証をプラグイン「Two Factor Authentication」で付ける方法
ログインURL変更
WordPressのログインURLは初期設定だと「wp-login.php」となっています。
不正アクセスはこのURLをまずアタックしてきますので、このURL自体を変更してしまいます。
≫「SiteGuard WP Plugin」でログインURLを変更する
フェールワンス
フェールワンスとは、正しいログインID&パスワードを入力しても、1回目はログインできなくする機能です。つまり、ログインするためには、2回続けて正しいログインID&パスワードを入力しないいけません。
ブルートフォースアタックでは、大量のログインを機械的に試みますが、2回続けて同じID、パスワードを使ってこない限り、ログインされることはありませんので、効果的に防ぐことができます。
≫「SiteGuard WP Plugin」でフェールワンスを設定する
ログイン失敗時のメッセージ無効化
WordPressの初期設定だと、ログイン時に、ユーザー名が間違っている場合とパスワードが間違っている場合でエラーメッセージが異なります。そのため、例えログインできなかったとしても、ログインを試したユーザー名&パスワードのうち、ユーザー名が当たっていた場合、そのことをハッカーに知らせてしまうことになります。
そこで、ログイン失敗した時のエラーメッセージを、1つのメッセージにしてしまいます。
≫「SiteGuard WP Plugin」でログインエラーメッセージの無効化を設定する
ログインロック
ログインロックとは、所定の時間内に、所定の回数、ログイン失敗した場合、所定の期間、ログイン受付を停止する機能です。
コメント