スクールで、セキュリティ対策として「SiteGuard」の導入を教わりましたので、ご紹介します。
ユーザーID、パスワードを総当たりで入力し、解読する攻撃(ブルートフォースアタック)を防ぐことができます。
このプラグインを導入すると、本人ログインする場合の手間(ひらがなの入力)が1つ増えますが安全性を考えると、やむを得ないと思います。
Contents
1.プラグイン「SiteGuard」のインストール、有効化
【ダッシュボード】から【プラグイン】-【新規追加】をクリックします。
プラグインの検索窓に「SiteGuard」と入力し、エンターをクリックします。
【今すぐインストール】をクリックし、完了しましたら【有効化】でクリックします。
【ダッシュボード】に【SiteGuard】が追加されます。
2.【ログインページ変更】と【画像認証】について
【ログインページ変更】と【画像認証】はデフォルトでON(有効)になっています。
プラグイン「SiteGuard」を有効化すると「ログインページが変更されました」「新しいログインページをブックマークしてください」と表示されます。
「新しいログインページをブックマークしてください」をクリックすると新しいURL「http://firsthp.info/login_*****/」のログイン画面が表示されます。
以前のログインURLが「http://firsthp.info/wp-login.php/」→「http://firsthp.info/login_*****/」に変更されています。
「*****」 は、ランダムな数字がはいっています。 「SiteGuard」を停止し再度有効化すると数字が変更されます。
ログインページに【画像認証】のひらがなの入力欄が追加されています。
日本語キーボードを持っていないと「ひらがな」は入力できませんので、海外からの不正なログインを防ぐことができます。
新しいログイン画面のURLは、以下の2つの方法で確認できます。
(1)【ログインページ変更】-「変更後のログインページ名」で確認します。
(2)登録しているメールアドレスに以下のメールが届きます。
3. プラグイン「SiteGuard」の設定
【ログインページ変更】と【画像認証】については、説明しましたので、それ以外の機能を説明して行きます。
①プラグイン「SiteGuard」の設定状況
【ダッシュボード】-【SiteGuard】をクリックします。
【設定状況】の画面となります。
プラグインを導入すると【管理ページアクセス制御】【フェールワンス】【WAFチューニングサポート】以外は、デフォルトでチェックが入っています。
デフォルトでチェックが入っているものは、ON(有効)になっています。
②【管理ページのアクセス制限】
【ON】にすると、ログインしてない場合、管理画面へアクセスできないようにします。
当サイトの管理画面のURL「http://firsthp.info/wp-admin/」へ ログインせずにアクセスすると「404エラー」を返します。
管理画面へ侵入を防御します。
③【エラーメッセージの無効化】
不正なログインを試みられた場合、ユーザー名、パスワード、認証画面のどの項目が間違ってるか調査されないようにどこで間違えても同じメッセージが表示されます。
④【ログインロック】
ブルートフォースアタックなどの機械的な攻撃で、ログインを5秒間で3回失敗したら、1分間ブロックします(デフォルト設定)。
期間、回数、IPアドレスのブロック時間は、選択できます。
⑤【ログインアラート】
ログインするとメールが届きます。
不正なログインだけでなく、自分がログインしても届きます。
⑥【フェールワンス】
「アカウント」、「パスワード」、「認証コード」をすべて正しく入力されたとしても、一度目はログインを失敗させる機能です。
「アカウント」、「パスワード」を知られたとしても、そのログインが失敗したように偽装します。
管理者がログインしても1度目は失敗となり、5秒後~1分以内にもう一度入力しないといけないので、少し面倒くさいです。
⑦【XMLRPC防御】
XMLRPCとは、WordPressの管理画面へプログラムを介してログインし、投稿する機能です。
攻撃する側からみると外部から遠隔操作し、ログイン、投稿できるので、格好の攻撃目標となりますので、必ずブラウザからログインし投稿している場合には、無効化しておくべきです。
ただ、私は、iphoneにWordPressのアプリをインストールし、投稿できるようにしていたのですが、ログインできなくなりました。
この設定が影響していると考えられます。アプリでログインしようとすると下記のメッセージが表示されます。
結局、スマホにもGoogle Chromeをインストールし、そこから投稿できるようにしました。
⑧【更新通知】
特にいらないと考え、【OFF】にしました。
⑨【WAFチューニングサポート】
WAF(ウェブアプリケーションファイアウォール)は、不正アクセスを防ぐファイアーウォールのことです。
当サイトはロリポップサーバーを使用しています。
Googleアナリティクスを設定する際にロリポップのWAFを無効にする必要がありましたので、【OFF】にしました。
Google アナリティクスの設定とエラーへの対処(ロリポップサーバー)
4.おわりに
ブルートフォースアタックという言葉を、はじめて知りました。
WordPressは利用者が多いので、狙われやすいようです。
特に、ユーザーIDは、WordPressのデフォルト「admin」は絶対に使用しないようにしてください。
【ログイン履歴】を見ると自分以外がログインしようとしているのがわかるので、攻撃されているか確認することができます