【WordPressを乗っ取られる前に】WordPressの不正ログインを未然に防ぐ方法を解説
- 1. WordPressは狙われやすいCMS
- 2. WordPressの不正ログイン対策
- 3. WordPressに不正ログインされた時にやること
- 4. 不正ログインされると自分が加害者になってしまうリスクもある
- 5. 参考
WordPressは狙われやすいCMS
2023年1月時点で全世界のWebサイトの43.1%がWordPressで制作されています。オープンソースのソフトウェアであることから、脆弱性があった場合、露呈されてしまうという弱点もあります。
悪意のある攻撃者は、WordPressの脆弱性を悪用したり、管理のずさんなWebサイトをターゲットにして不正なログインを試みたりすることがあります。
このようにWordPressは狙われやすいCMSですが、管理者として適切な対策を取ることで、不正ログインされるリスクをできる限り減らすことが可能です。
今回はWordPressの不正ログインを未然に防ぐ方法を解説していきます。
WordPressの不正ログイン対策
WordPressの不正ログイン対策にはさまざまな方法があります。しかし、セキュリティ全般に言えることですが、セキュリティ対策を強化するほど、サービスとしての利便性が低下していくことを押さえておきましょう。
たとえば、管理画面に対して固定IPアドレスを指定したアクセス制限は、不正ログイン対策として非常に強固ですが、IPアドレスが変化しがちなプロバイダーやスマートフォンからのアクセスを想定すると、使い勝手があまりよくありません。
もちろん常に同じIPアドレスから管理することが決まっているのなら、このようなアクセス制限を導入するべきでしょう。
この記事では、ある程度の利便性を考慮して、一般的なレンタルサーバーで動作しており、複数のデバイスからアクセスされる環境を想定した不正ログイン対策について解説します。
IDとパスワードの適切な管理
基本的なことですが、WordPressのIDとパスワードを適切に管理することが重要です。特にパスワードは十分な長さを持ち、複数の種類の文字を使うことや、ほかのWebサイトで使っているパスワードを流用しないことが大切です。
総務省が公開している「国民のためのサイバーセキュリティサイト」では、危険なパスワードやパスワードの保管方法などを詳しく解説しています。ぜひご一読ください。
プラグイン「SiteGuard WP Plugin」の導入
WordPressにセキュリティ機能を追加するプラグインはいくつかありますが、国産のプラグインで継続的なメンテナンスがされている「SiteGuard WP Plugin」は、シンプルながらも十分な機能を持ちます。
このプラグインの機能は以下の通りです。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- ユーザー名漏洩防御
- 更新通知
- WAFチューニングサポート
SiteGuard WP Pluginをインストールすると、自動的にログインページのURLが「wp-login.php」から「login_<5桁の乱数>」に変更されますので注意しましょう。このログインページのURLは、後から自分の好きな文字列に設定可能です。
SiteGuard WP Pluginは、WordPressの不正ログイン対策としては、十分すぎる機能を持つプラグインですが、全ての機能を有効にする必要はないかもしれません。前述したように、あまりセキュリティ機能を強固にすると、利便性が損なわれてしまうからです。
まずは「ログインページ変更」「画像認証」「ログインロック」あたりの設定を有効にして、あとは使い勝手に応じてほかの機能を有効化すると良いでしょう。
プラグイン「ユーザーログイン履歴」の導入
SiteGuard WP PluginはWordPressのセキュリティプラグインとして充実した機能を持ちますが、できるだけWebサイトを軽く運用したい場合には、少し負荷が大きいのは事実です。
しかしそのような場合でも、ログイン履歴のチェックだけは行っておいた方が良いでしょう。プラグイン「ユーザーログイン履歴」を導入すれば、WordPressのログイン履歴の記録のみできるようになります。
なお、ログイン履歴を記録する機能はSiteGuard WP Pluginもデフォルトで有効化されています。SiteGuard WP Pluginを有効化している環境であれば、ユーザーログイン履歴のプラグインを別途導入するメリットはほとんどないでしょう。
WordPressに不正ログインされた時にやること
万が一、WordPressに不正ログインされてしまったら、まずはパスワードを速やかに変更して、Webサイト全体をメンテナンス中か非公開の状態にしましょう。企業の場合は、上司や情報システム部などへ報告して、対応を仰ぎます。
警視庁のWebサイトでは、都道府県別の警察本部サイバー犯罪相談窓口の一覧が公開されています。不正ログインの発覚時には、ページの改ざんや情報漏洩などの目に見える被害の有無にかかわらず、まずは相談することをおすすめします。
不正ログインされると自分が加害者になってしまうリスクもある
WordPressを不正ログインされると、ユーザープロフィールなどの個人情報が漏洩したり、ページが改ざんされたりなどの被害に遭うことが想定されます。さらにページにマルウェアを仕込まれてしまうことも考えられるでしょう。
もしそうなったら、自分のWebサイトの訪問者にマルウェアを感染させてしまう恐れがあります。つまり無実の自分が加害者になってしまうリスクが発生してしまうのです。
不適切なWebサイトの運営は、自分が被害者になるだけでなく加害者になってしまうことも頭に入れつつ、適切なセキュリティ対策を施しましょう。
参考
- https://www.jp-secure.com/siteguard_wp_plugin/(2023年3月8日確認)
- https://ja.wordpress.org/plugins/user-login-history/(2023年3月8日確認)
- https://www.npa.go.jp/cyber/soudan.html(2023年3月8日確認)
- https://wpmake.jp/contents/security/security/illegality_login/(2023年3月8日確認)
- https://www.pi-pe.co.jp/solution/article/managed-cloud/597/(2023年3月8日確認)
- https://blog-bootcamp.jp/start/wordpress-share/(2023年3月8日確認)