WordPressの乗っ取りを防ぐのです。不正アクセス対策しましょう

投稿者: | 2018年8月24日
ぱっと読むまとめ
ブログ構築お任せください!
・この記事のようなブログを作成したい
・TechPRESSのようなブログを作成したい
・無料ブログではなく自分のドメインでブログを構築したい
・ブログだけでなく、特殊な機能を設置したい
・Wordpressで構築したいけど時間がない
・サーバーの運用もお任せしたい

そんなあなたにTechPRESSのブログ構築サービスは如何ですか?
簡単なブログ設置であれば最短1日で独自ドメイン+SSL+ブログをご用意します。

料金はミニマム設定で25,000円から(ドメイン代は実費を頂きます)

info@techpress.jpまでお気軽にお問い合わせください

ぱっと読むまとめ

誰でも気軽に設置できるからこそ世界中から狙われやすいWordpress。乗っ取られたら、はいおしまい

今やボタン一つで誰でも簡単に設置できるWordpress。しかしセキュリティ的には非常に脆弱であることを認識する必要があります。

何が一番の問題かと言うと、管理画面のURLが誰でも簡単にわかること。

例えばhttps://nantoka.comというサイトがWordpressで作れているとしたならば、https://nantoka.com/wp-admin/に管理画面があることは容易に想像がつきます。そしてID・パスワードがadminやtestだった日には・・・。もう乗っ取られ決定です。

乗っ取られると様々な被害を受けます。下記は一例ですが、

  • コンテンツを全て消される
  • コンテンツを卑猥なものに差し替えられる→運営者が責任を問われる可能性あり
  • コンテンツの中に悪意のあるプログラムを注入される→アクセスしてきた一般人がウイルス感染したり、他のサーバーに攻撃をしかけたり

なんて事が考えられます。

偉そうにこんなこと書いていますが、かく言う私も以前サーバーが乗っ取られた事がありまして(汗)

その時は悪意あるプログラムが埋め込まれ、知らずにホワイトハウスを攻撃していました(滝汗)日本の警察から電話がきて事情が発覚した次第です。口頭注意で済んだものの、被害の大きさによってはサーバー管理責任が問われてもおかしくありません。

同じ轍を踏まないよう、Wordpressを利用しているみなさんはセキュリティ対策を施しましょう。

導入するプラグインはこれ

はい、SiteGuard WP Pluginです。

どんな機能があるか見ていきましょう

管理ページアクセス制限機能

wp-adminディレクトリ配下に様々な管理ファイルがあることは既にわかっています。それらのファイルに直接アクセスされて攻撃されないよう、こちらの機能でブロックします。

とは言え、予想できない不具合が発生する可能性があるので、こちらはOFFのままで良いと思います。

ログインページ変更機能

先ほども申し上げましたが、/wp-admin/にアクセスすれば管理画面があることを誰もが知っています。これは結構まずい。

と言うことでwp-adminというディレクトリ名称を変更する事ができます。これだけでも多くの攻撃をかわす事ができるでしょう。

ログイン画面画像認証機能

この機能をONにするとログインする際、IDパスワード以外に「ひらがな」の入力を求められます。

この「ひらがな」を入力させるというのが絶妙にツボですよね。私たちにとっては簡単な認証ですが、海外からの不正アクセスの多くは防ぐ事ができるでしょう。

ログイン詳細エラーメッセージの無効化

エラーメッセージは、実は攻撃者を助けているんです。

例えば不正にIDとパスワードを入力し、「パスワードが違います」というエラーメッセージが出た場合。その場合、攻撃者は「パスワードは違うけどIDは合っているんだな」と解釈します。よって、その後はパスワードアタックのみに集中して攻撃を仕掛けてくるのです。

この機能をONにすると、全てのエラーメッセージが同じ内容になります。よって何が合っていて、何が合っていないのか、攻撃者には判らなくなる、という寸法です。

ログインロック機能

手動でポチポチしながらID・パスワードを探っていく、なんて攻撃者はいません。1秒間に数十・数百という文字列を自動入力し、攻撃をしてきます。

この機能を使えば一度ログインを失敗すると、数秒待たないと再試行できないようにできます。また試行回数も決める事ができます。

これを使えば鬼のような自動試行プログラムも焦らされてイライラし、諦めること間違いなし。

ログインアラート機能

不正ログインがあった場合、メールを送ってくれる機能。不正アクセスは気づかないのが一番まずい。

気づきさえすれば(どうすれば良いのかさっぱり判らなかったとしても)一時的にシャットダウンするなどの対策が取れますからね。

この機能を利用すればログインアラートをメールで送ってくれます。

フェールワンス機能

日本語にすると「一度失敗機能」。正しいログイン情報を入力しても1度はログイン失敗し、数秒後にもう一度入力するとログイン成功する機能です。

XMLRPC防御機能

WordPressではデフォルトでリモートプロシージャーコール機能というのが作動しているのですが、その機能を無効化するもの。これが何だか判らない人はOFFにしておきましょう。

これをONにすることで、管理画面で記事を書いていると「下書きを保存しています」の状態から動かなくなり、下書き保存も公開ボタンも押せなくなる、という報告もあります。

更新通知機能

常にプログラムを最新版にする、というのはセキュリティ対策としては非常に基礎的な対応です。

この機能をONにするとWordpressやプラグイン、テーマに更新がある際にメールで知らせてくれます。

WAFチューニングサポート機能

これはJP-Secure社のWAF(Web Application Firewall)を別途購入した人用の設定です。大規模サイトでは利用を考えてみても良いでしょう。

IPアドレス取得方法選択

通常はデフォルトのママで良いでしょう。WEBサーバの前にプロキシサーバやロードバランサーが配置されていると、それらのIPアドレスが記録される事があります。全てのアクセスが、それらのIPアドレスで記録されるので、ちょっと困ったことに。

そんなお悩みを持つ人は、こちらのX-Forwarded-Forのレベルを変更してみましょう。

そして最後にログイン履歴

いつ誰がログインしたか、全て記録されます。

ロギングは全ての基本。情報が残っていなければ何も対応できません。

 

以上SiteGuard WP Pluginのご紹介でした。

うちだけは大丈夫、なんてことは絶対ありません。なにせ攻撃者は自動スクリプトでWordpressのサイトを自動的に発見し、自動的に攻撃してくるのです。アクセス数少ないから大丈夫、なんてことはありません。

WordPressをインストールしたその日のうちに、すぐにこのプラグインをインストールし、不正アクセスから身を守りましょう。

ブログ構築お任せください!
・この記事のようなブログを作成したい
・TechPRESSのようなブログを作成したい
・無料ブログではなく自分のドメインでブログを構築したい
・ブログだけでなく、特殊な機能を設置したい
・Wordpressで構築したいけど時間がない
・サーバーの運用もお任せしたい

そんなあなたにTechPRESSのブログ構築サービスは如何ですか?
簡単なブログ設置であれば最短1日で独自ドメイン+SSL+ブログをご用意します。

料金はミニマム設定で25,000円から(ドメイン代は実費を頂きます)

info@techpress.jpまでお気軽にお問い合わせください

オススメの新着記事

ソースの乱れは心の乱れ!WordPressが生成するHTML/JS/CSSを最適化しよう プラグイン導入が簡単なWordpress。しかし調子に乗って入れ続けると大変なことに 調子に乗ってプラグインをインストールしまくっていると、実は見えないところに被害が・・・。 それはHTM...
迷いに迷ってようやく決定!ワードプレスの関連記事はこのプラグイン 関連記事生成用のプラグインだけなかなか決まらず エンジニア主体で運営されている、このTechPRESS。サーバー選定やデザイン変更などはお手のもので、サクサク出来上がったのすが、唯一「関連記事」...
いまだにSSLは高いと思っている人が多すぎてびっくりする話 昔はSSL取得に年間数万円かかったけど、それは昔の話であって 20年ほど前はSSLを取得しようと思ってもベリサインかthawteくらいしか選択肢がなく、選択肢が無い故に非常に高い値段を払ってSS...
記事を書く気力が無い日は既存記事のメンテナンスをしよう ヤル気が出ない日は既存記事のメンテナンスをしましょう ブログを書いても書いてもなかなかアクセスが増えない日々。とりあえず100記事は必要と言われて頑張るけど、しかしやっぱりアクセスがない。だんだ...
Googleタグマネージャを利用して Googleアナリティクスを発火させる 管理は楽ですが少々コツがあります Googleアナリティクスを利用する場合、トラッキングコードをあなたのページにぺたりと貼れば、すぐに利用が可能です。一番簡単な方法です。ページビュー計測するだけ...
google検索結果でより目立つ!スターレイティングをWordPressに設置 Googleの検索結果でときどき☆の評価が付いていて目立つサイト、ありますよね 例えばこんなの、です。 この星、結構ずるくないですか? 青、緑、黒ばかりの検索結果の画面で、星...
WordPressの引っ越し・バックアップ!そんな時はAll-in-One WP Migration サーバをお引越ししたい!Wordpressを使っているならAll-in-One WP Migration一択 急にサーバーをお引越ししたくなりましたか?安くてパフォーマンスの良いサーバーでも見つ...
WordPressのブロックチェーンプラグインにはどんなものがある? CMSとして人気の高いWordpress。プラグインが充実しており、その使いやすさも人気の一つです。今回は"Blockchain"のタグがついているwordpressプラグインを気ままにチェッ...
【本当は教えたくない】メディア運営やアフェリエイトに役立つchromeプラグイン4つ 現在新しいメディアや個人ブログ、アフィリエイトが流行っていますよね このtechpressも他聞にもれずその仲間ですが。 今回はそのようなメディアを運営している方に役に立つchromeエク...
【副業でおすすめ】独自ドメインを取得し、レンタルサーバでアフィリエイトやブログを始める こんにちは。 本日はこのTECHPRESSでも使われているサーバとドメインの設定方法についての記事です。 みなさんの中には独自ドメインでアフィリエイトを始めたい、もしくはブログを書...
ぱっと読むまとめ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA