簡単にホームページが作れてカスタマイズもしやすいため、WordPressで作られているサイトはたくさんあります。その分、攻撃の対象にもなりやすいという側面もあります。
そこで今回は、WordPressのセキュリティ対策として、総当たり攻撃を防ぐ5つの技を紹介します。
目次
総当たり攻撃ってなに?
「総当たり攻撃」とは、ユーザのアカウント・パスワードをツールなどを使って、手当たり次第に入力してログインしようとする攻撃のことです。ブルートフォースアタックという場合もあります。
総当たり攻撃でログインが成功されてしまうと、Webサイトを書き換えられたり、サイトが壊されてしまうことがあります。
1.複雑で長いパスワードにする
総当たり攻撃では、さまざまな文字列でアカウントとパスワードを入力していきますが、パスワードが長ければ、ログインができるまでに時間がかかります。また、よくパスワードに使われるリストを使ってログインを試みる手法もあるので、数字や記号などを混ぜたランダムなパスワードの方が安心です。
パスワードの変更は、カスタマイズやプラグインの導入などしなくてもできる対策なので、アルファベットだけだったり、文字数の少ない単純なパスワードを使っている方はすぐに変更しておくことがおすすめです。
2.ログインアドレスを変更する
そもそも、ログインページにアクセスできなければ、。WordPressのログインアドレス、デフォルトのままだと簡単にアクセスできてしまいます。そこで、ログイン画面のURLをインストールしたときのものから変更しておくと安心です。
3.画像認証などを取り入れる
WordPressには通常アカウントとパスワードがあればログインできますが、そこに画像認証を追加することで、総当たり攻撃からサイトを守る方法があります。
画像認証で使う画像をひらがなにすることで、海外からのハッカーからの攻撃に備えることもできます。もしも画像認証を取り入れるときは、ひらがなの入力が使えるなら、セキュリティを高めるためにもそちらを選択しておきましょう。
4.ログインロックを取り入れる
総当たり攻撃の場合は、ランダムにパスワードを入力してログインできるか試していくという性質上、実際にログインできるまでにログインに失敗をします。
そこで、何度かログインに失敗した場合、その接続元を一定期間アクセスを制限するログインロックという方法もおすすめの対策です。
5.正しいログイン情報でも一度ログインに失敗する
フォールワンスとう機能で、正しいログイン情報であっても、一度ログインに失敗させるという方法で、セキュリティを向上させるという方法があります。
パスワードリスト攻撃という、他のサービスなどから流出したパスワードリストを元に、ログインを試みるという攻撃があります。この機能はこのような攻撃の防御に有効です。
プラグインで簡単に対策を!
今回ご紹介した対策ですが、実際に導入しようとすると、方法が分からなかったり、手間がかかるのではないかと、後回しになってしまいがちです。ですが、実はプラグインを使って簡単に導入することができます。
総当たり攻撃対策におすすめのプラグインが「SiteGuard WP」というセキュリティ用のプラグインです。日本語対応のシンプルなつくりになっているので、使いやすいのが特徴です。
「SiteGuard WP」はシンプルなプラグインですが、機能はとても充実しています。今回紹介した対策のうち、パスワードの変更以外の対策がこのプラグイン1つで設定することができます。
(パスワードの変更は、管理画面のプロフィールから簡単に変更することができます。)
安心してサイトの運用をするためにも、ぜひWordPressのセキュリティを見直してみてください。
