ブログ運営

【WordPress初心者】不正ログイン経験者が紹介!最初に設定するべきセキュリティプラグイン

株JIN.com 資産運用&公開ブログ】

ワードプレスをインストールして、まだ4ヶ月目のブログ初心者が不正ログインの攻撃にあったという話です。

結果的には、ワードプレスのセキュリティプラグインで対策していたので問題はありませんでした。

しかし、ワードプレスをインストールした最初にセキュリティについて調べていなければ不正ログインされていた可能性があると思うと怖いですね。

まだセキュリティ対応していないワードプレス初心者は、この2つの事実を覚えておいて下さい。

  • 自分のドメインアドレスの後ろに”?author=1”をブラウザに入力するだけで自分のログイン名がバレるという事実
  • 自分のドメインアドレスの後ろに”wp-login.php”をブラウザに入力するだけでログイン画面が表示されるという事実

つまり、ただワードプレスをインストールするだけで公開するとログイン画面とログイン名がバレバレの状態になっています。あとはパスワードだけが唯一の頼みとなっています。

そして、不正ログイン対策として2つのプラグツールを紹介します。

どんな不正ログインの形跡があったのか?

『不正ログイン対策 その1』で紹介しているプラグイン『SiteGuard WP Plugin』ではログイン履歴を確認出来ます。

そこをふと見ると以下の身に覚えのないログイン履歴が2つも残っていました。

不正ログインの形跡

①に身に覚えのないログイン履歴がありました。

②でログイン名が『admin』になっています。ワードプレスで良く使われているログイン名です。

これからワードプレスをインストールする人はログイン名を『admin』にしない方が良いです。

そして、③でログインしたタイプが『ログインページ』になっていました。

ワードプレスユーザはよく見るこんなログイン画面のページのことです。

ワードプレスのログイン画面

③はもう少し高度な不正ログインでした。

ログイン名が最初に書いた自分のドメインアドレスの後ろに”?author=1”で調べたログイン名を使っていました。

そして、④でログインしたタイプが『XMLRPC』になっていました。

最初は??良く判らないのでググったら『ブルートフォースアタック』という不正ログインの攻撃だったことが判明しました。

ログイン画面では人が手入力する必要がありますが、このXML-RPC機能を悪用した『ブルートフォースアタック』では、コンピューターのプログラムで無制限にパスワードを入力して成功するまで繰り返されるという攻撃方法でした。

つまり、ログイン画面ページとは別のルートを使った侵入方法になります。

これを読んだ時にはちょっとビビってしまいました。

不正ログイン対策 その1

『SiteGuard WP Plugin』をインストールして下さい。

これをインストールすることで以下のセキュリティ対策が可能になります。

  1. ログイン画面ページのURL(アドレス)を変更出来ます。
  2. XML-RPC機能を使った無制限なログイン攻撃を無効に出来ます。
  3. 繰り返されるログイン攻撃を防ぐことが可能になります。
  4. ログイン画面で日本語の画像認証機能が追加されます。
SiteGuard_WP_Plugin

①ログイン画面ページのURL(アドレス)を変更する

ログイン画面を表示させるアドレスをカスタマイズして自分しか知らないアドレスに変更します。

管理画面『SiteGuard』>『ログインページ変更』で設定します。

20190323_SiteGuard_WP_Plugin01
※ちなみに、最初のログイン履歴の画面は下の『ログイン履歴』から見れます。

ログインページ変更
ここに自由なアドレスを設定して『変更を保存』ボタンで反映されます。このときにログインページのアドレスを忘れずにメモしておくことをお勧めします。

このアドレスを忘れて、ログアウトすると・・・終わりです。(最悪ブラウザの履歴にアドレスが残っている可能性はあるかも)

これでを設定すれば、ログイン画面のアドレスは私しか知らないアドレスになるので1安心ということになります。

XML-RPC機能を使った無制限なログイン攻撃を無効にする

この設定をすると例えばメールで記事を更新するなど使えない機能だったり、他のプラグインの影響もあるようなので、もし問題があるようなら使えない機能なので要注意です。

管理画面『SiteGuard』>『XMLRPC防御』で設定します。

20190323_SiteGuard_WP_Plugin_XMLRPC無効化01
以下の画面でタイプを『XMLRPC無効化』にして『変更を保存』ボタンを押します。
20190323_SiteGuard_WP_Plugin_XMLRPC無効化

繰り返されるログイン攻撃を防ぐ

XML-RPC機能を使ったブルートフォース攻撃以外にもプログラムでパスワードを無制限に攻撃する方法があるかもしれません。なので、そもそもの連続でパスワードが失敗するとログイン機能をロックさせる機能なので、万能的にセキュリティが上がる方法です。

管理画面『SiteGuard』>『ログインロック』で設定します。

SiteGuard_WP_Plugin_ログインロック01
この設定はデフォルト設定のまま使っています。自分が5秒間隔で3回連続でアクセスを失敗すると1分間ログイン出来ないという副作用がありますが、自分は3回も連続で失敗しないでしょう。
SiteGuard_WP_Plugin_ログインロック

ログイン画面で日本語の画像認証機能が追加

アカウント登録なんかでよく見る画像認証の日本語バージョンです。これは基本的にハッカーは外人が多いから、日本語キーボードを持っている可能性が少ないって理屈です。自分がログインする度に毎回入力が必要となるのでメンドクサイって人は設定不要だと思います。

管理画面『SiteGuard』>『画像認証』で設定します。

SiteGuard_WP_Plugin_画像認証01
私は何も考えずに全てをデフォルトのままON設定で使っています。
SiteGuard_WP_Plugin_画像認証

不正ログイン対策 その2

不正ログイン対策 その1でも十分ですが、まだ自分のログイン名が世界中に公開されている状態なので、その対策プラグインもインストールしています。

『Edit Author Slug』をインストールして下さい。

これをインストールすることで以下のセキュリティ対策が可能になります。

  1. ワードプレスのログイン名(ユーザーID)を自由に変更することが可能になります

Edit_Author_Slug
管理画面『ユーザー』>『あなたのプロフィール』で設定します。

ユーザーあなたのプロフィール
この『投稿者スラッグ』の1番上部には自分が最初に登録したログイン名(ユーザー名)が表示されています。その1番下にある『カスタム設定』に自由な設定をすればOKです。
ユーザーIDの変更
この設定をして『プロフィールを更新』してから自分のドメインアドレスの後ろに”/?author=1”を入力しても変わっていないことがありますが、その時にはプラグインのキャッシュをクリアすることを忘れずに実施して下さい。または別のブラウザで確認するなどして下さい。

不正ログイン対策のまとめ

不正ログインの対策
ログイン画面ページが丸見えログイン画面ページのアドレスを変更する
ユーザー名が丸見えユーザー名を変更する
XMLRPC機能が有効のままXMLRPC機能を無効化する
ログインを連続アクセスOK連続でログイン攻撃されるのを防ぐ
ログイン画面に画像認証がないログイン画面に画像認証を追加
▼▼いい記事と思ったら押して下さい▼▼
にほんブログ村 株ブログ 米国株へ