最低限のWordPressの不正ログイン対策3選
「Wordpressのセキュリティ対策しなきゃ」と思ってる人でも、調べるとよく分からない用語がいっぱい出てきて、結局なにもしていない人も多いのではないでしょうか?
この記事では、最低限やって欲しい、基本的な不正ログイン対策について紹介します。
自宅に例えるなら、「窓から不審者が入ってこないようにする対策」の前の、「玄関から不審者が入ってこないようにする対策」です。
もし不正ログインされたらどうなるか。あなたのWordpress経由でマルウェアを拡散されたり、偽物の決済画面を用意されたり、情報を漏洩されたりする可能性があります。知らぬ間に加害者にならないよう、対策をしておきましょう。
(1) ログインエラー画面にヒントを表示させない
まずはこの画面を見てください。これはWordpressのログイン画面で、ユーザー名に”admin”と入力してログインが失敗した画面です。
ふむふむ。”admin”というユーザーは存在していないのか。そして、ユーザー名でもメールアドレスでもログインできるのか。ということは、このホームページに載ってるメールアドレスでもしかしてログインできるかも、、、なんていう風に想像することができます。
もちろん、パスワードが分からなければログインはできません。ただ、ユーザー名が正しいかどうかは、エラー画面で分かります。ユーザー名が当たったら、あとはパスワードだけ。プロの手にかかれば、突破できてしまうでしょう。
では、どうすれば良いのか。後ほど、(2)の対応方法と合わせてお伝えします。
(2) ログイン画面のURLを変更しておく
WordPressのログイン画面のURLは、標準だとURLの後ろに wp-login.php を付けたページになります。例えば、https://●●●.com/wp-login.php のような感じです。
実はこのURLは簡単に変更できるんですよ。そうすると、ログイン画面が見つかりにくくなるので、不正ログインされにくくなります。
ただし、会員制のWebサイトを運営している場合など、多くの方がログインするWebサイトをWordpressで運営している場合は、かえって混乱を招く可能性があります。
ログイン画面へアクセスする人たちが、標準のURLでなくても困らないようでしたら、変更しておくのがおすすめです。ただし、変更後は、くれぐれもURLを忘れないようご注意ください。
(1)と(2)の対応方法
では、どうすれば良いのか。(1)も(2)も以下の「XO Security」プラグインを入れれば簡単に設定できます。(プラグインのインストール方法は省略します)
「XO Security設定」の「ログイン」タブを開いて、「ログインページの変更」の欄に入力したログインファイル名が、変更後のログイン画面のURLになります。これで(2)の対応ができます。
そしてその少し下にある「ログインエラーメッセージ」のプルダウンで「簡略化」を選択すると、(1)の対応ができます。
この「XO Security」は他にもたくさんのセキュリティ設定ができます。ぜひ色々と設定してみてください。
(3) FTPやSSHのアクセス制限をかける
「FTP?SSH?なにそれ?」っていう感じですよね。よく分からないから気にしていない方も多いかと思いますが、実はこれ、放置するとかなりまずいです。
自宅に例えるなら、Wordpressのログイン画面からログインするのは、玄関から入って実は一部の部屋にしか入れないようになってます。一方、FTPやSSHでログインすると、裏口から入ってすべての部屋に入ることができます。つまり、設定を変えられる範囲が広いんです。(あくまでも例えです)
このFTPやSSHのアクセス制限は、Wordpressではなく、サーバー側で設定する必要があります。そのため、レンタルサーバーを利用している場合は、「(レンタルサーバー名) FTP 無効化」や、「(レンタルサーバー名) SSH 無効化」でググって、対応してください。
例えば、エックスサーバーの場合は「FTP制限設定」(*1)と「SSH設定」(*2)のページがそれにあたります。
*1)エックスサーバーの場合はFTPは無効化できないようなので、「現在のIPアドレス」でアクセス制限をかけておくと良いです。一般家庭のインターネットの場合、IPアドレスはコロコロ変わりますので、時間が経つとFTPでアクセスできなくなります。その場合は再度「現在のIPアドレス」でアクセス制限を行えばOKです。
*2)エックスサーバーの場合は、SSHは初期状態では無効になっています。そのため、有効にしていないのであれば、何も行う必要はありません。
WordPressのセキュリティ対策は突き詰めるとキリがありませんが、まずは本記事で紹介した内容だけでもチェックしていただけたら嬉しいです。
そして、これを機に、他にどんなセキュリティ対策があるのか、ぜひ調べて対応してみてください。
最後までお読みいただきありがとうございました。
