スイッチ | ブログ・サイト運営を応援するWebマガジン

あなたのサイトは狙われている!?WordPressの不正ログインを防ぐ方法


こんにちは、Webマーケッターのアラキです。

WordPressの利用者は年々増加する反面、Wordpressサイトを狙う「ブルートフォースアタック」が増えてきています。

「ブルートフォースアタック」とは、WordPressのログインファイルにアクセスし、不正ログインを繰り返し狙う悪質な攻撃のことです。

悪質な不正ログインが成功してしまうと、コンテンツの改ざんや外部サーバへの不正攻撃等に繋がってしまいます。

人気ブロガーのグアバさんも先日、不正アクセスによる被害をブログで告白されています。

[参考]WordPressの不審なユーザーはやはり不正アクセスの可能性が濃厚。ログイン履歴に痕跡あり。対策しました

非常に怖いです。Wordpressユーザーにとっては決して他人事ではありません。

WordPressの管理画面のログイン履歴を確認してみよう

「Crazy Bone」というプラグインを使うと、WordPressの管理画面のログイン履歴を確認することができます。

ログイン履歴が自分のものであれば問題ありませんが、もし全く関係のない外部からのアクセスの場合は問題です。

ブルートフォースアタックのような悪質な不正ログインの場合があります。

「Crazy Bone」の使い方は、簡単です。

管理画面のメニューから、[プラグイン]⇒[新規追加]で「Crazy Bone」を検索し、インストールするだけでOK。

[ユーザー]⇒[ログイン履歴]から、閲覧することができます。

↓ちなみに、当サイトへのログイン履歴はこんな感じです。

とくに外部からっぽいアクセスはありませんでしたね。(エラーは自分で間違えたものです)

不正ログインを防ぐために、まずやるべきこと

WordPressでデフォルトの「admin」ユーザーを使うのはとても危険です。

WordPressへの「ブルートフォースアタック」は、ほとんどがユーザ名を「admin」として、不正ログイン試行されているようです。

ですので、「admin」ユーザーを必ず削除するようにしましょう。

その時に注意しないといけないのが、必ず新しく作ったユーザーに投稿記事をアサインしておくこと。

これをしておかないと今まで作った記事がすべて失われてしまいます。

方法については、下記ページに詳しく解説されていますので、ご参照ください。

[参考]WordPressのadminユーザーを変更(削除)する方法。乗っ取られる前にセキュリティ強化!

それと当たり前のことですが、パスワードを複雑化しておくこと。

こちらのページなど、パスワードの乱数を生成してくれるサイトがたくさんありますので、そういうものを利用されると良いでしょう。

プラグインを使って、不正ログインを防ぐ

「SiteGuard WP Plugin」というプラグインを使うこと、不正ログイン対策を行うことができます。

まずは、管理画面のメニューから、[プラグイン]⇒[新規追加]で「SiteGuard WP Plugin」を検索し、インストール。

プラグインを有効化すると、自動的にログインページのURLが変更されます。

WordPressのログインページは通常、サイトURL/wp-login.phpになるわけですが、ログインページのURLを変更しておくことで外部からの攻撃を受けにくくなります。

その他、「SiteGuard WP Plugin」の主な機能をいくつか紹介します。

画像認証

「SiteGuard WP Plugin」には画像認証という機能があります。

画像認証があることで、ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくなります。

ログインアラート

「ログインアラート」を有効にしておくと、ログイン時にログインユーザーにメールで通知してくれます。

不正なログインにいち早く気づくためにも、有効化しておくと良いでしょう。

更新通知

「更新通知」を有効にしておくと、WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知してくれます。

常に最新のバージョンにしておくことで、脆弱性に対応できるため、セキュリティ対策に繋がります。

万が一のために、バックアップをとっておく

上記のようなセキュリティ対策を行っていたとしても、万が一ということがあります。

そんな時のためにも、バックアップをとる習慣をつけておいたほうが良いでしょう。

そこで簡単にWordpressのデータをバックアップできるのが「WP-DB-Backup」というプラグインです。

こちらのプラグインを使うと、定期的に自動でWordpressのデータをバックアップしてメールで送ってくれます。

ちなみに、私は週に1回メールで送信するように設定しています。

詳しい使い方については、下記のページをご参照ください。

[参考]WordPressのデータを定期的にバックアップする方法

もし、まだデータのバックアップをとれていない方は、これを機会にバックアップをとってみては?


Sponsored Links

こちらの記事もおすすめです!

シェア頂けると励みになります!

ブログ更新情報はこちらから発信しています。

【完全保存版】ショッピングカートASP徹底比較2018

運営者情報

荒木 厚(株式会社コクリ 代表)

デザイン会社、WEB運営会社を経て、「株式会社コクリ」を設立。 Wordpressを使ったWebサイトやネットショップの企画・制作、SEO・リスティング広告を使った集客支援をしています。