JETBABY

WordPressの「今」できる!セキュリティ対策


WordPressのセキュリティなイメージ

WordPressを使用していると最近よく耳にする不正アクセスや乗っ取られなどのセキュリティ的な話。
もちろん通常のウェブサイト(CMSなどを入れていないもの)でも年々その被害は増えていると思います。

WordPressは世界中で親しまれてるソフトだけにやはり悪いことを考える奴にも目を付けられやすい。
で、今回はとりあえず手軽にプラグインだけで出来る対策を。
ちなみにこれだけで十分というわけではないですが、やらないよりはいいぜ、ということで。

今回紹介するプラグイン

Limit Login Attempts

Stealth Login Page

この2つでは主にブルートフォースアタック(総当り攻撃)と言われる不正なアクセスに効果があるかとおもいます。

ここのところ多いんですよ、ブルートフォースアタック
自分で管理しているサイトの中でも結構な回数されているのもあったり。

ブルートフォースの詳細は詳しいサイトを見ていただくとして、わかりやすく言うと
「アカウントとパスワードが一致するまでいろんな組み合わせを全部試してやるぜ」
という攻撃。
まあ、いつかは当たるだろ、何兆回とか天文学的な確立でも、ってこと。

もちろん人力でやるわけではなく、コンピュータを使って自動で当たるまでログインを繰り返させる
単純だけど知識がそこまでなくてもできるし、中々厄介。

なのでやる気になればあたりを引かれてしまうことも可能なわけです。
そうすると管理画面に勝手に入られてしまうので、自分のWordPressが乗っ取られ悪さされたり、悪さするのに利用されたり。
果てはサーバーそのものまで乗っ取られる可能性もあったりするわけです。

そんなときに役立つのが上記2つのプラグイン。

「Limit Login Attempts」は指定した回数ログインに失敗すると指定した時間、そのIPからの接続を拒否するというもの。
これで何回も何回もパスワードを試すってことが出来なくなるわけです。

乗っ取られることはなくても、すごい回数短時間にログインを試してくるので、サーバーへの付加も相当なものになっていたりします。
ひどいときはサーバーが落ちたりする可能性もあるわけですが、そういったことも防げます。

「Stealth Login Page」に関しては管理画面のURL自体を変えてしまおうというもの。

通常、http://○○○.com/wp-login.phpなんて感じでログイン画面のURLのファイル名は一緒になってしまうわけだけど、こいつを書き換え(というかパラメーター付け足す)て見つからないようにするというもの。

探そうと思えば探されてしまう可能性もあるけど、やらないよりは遥かにいい。

上記2つを組み合わせるとWordPressのログイン画面へのブルートフォースアタックの回避率はとても上がります。

どちらも使い方も簡単で、停止するのも簡単というプラグインなのでオススメです。

セキュリティって大事だけど専門知識も豊富にないといけないので、こういった手軽に出来ることから意識を高めていくというのもありかも。

他にもあるWordPressのセキュリティプラグイン

特定の脆弱性のチェックをする
Timthumb Vulnerability Scanner

自作でも他作でもオリジナルテーマのセキュリティを確認できる
Theme-Check

プラグインのセキュリティを確認できる
Plugin-Check

などなど良いプラグインがありますので、セキュリティへの配慮も忘れず、もっと安全便利にWordPressを使っていけるといいんじゃないかな。
油断した頃に嫌なことが起こるのが人生の常ですしね。

(画像は本文の内容と関係ありません)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です