Blog運営 WordPress

WordPressって自ドメイン/wp-login.phpでログイン出来るけどセキュリティ対策してる?

更新日:

どーも、cv0629です。皆さんWordpressのセキュリティ対策って何かしてます?

少し気にされてる方はAkismet入れてスパム対策とかしてるかもしれませんね。でもそれだけじゃ足りないんですよ。だって「自ドメイン/wp-login.php」でアクセスするとWordpressのログイン画面が出てるでしょ?こんな感じで。

login-php

よく考えたらこれって世界中に自分のブログへの入り口を晒してるよね。それでもしあなたがユーザ名をadminとかにしてたらホントに危ない!ブルートフォース攻撃されたら速攻ブログが乗っ取られるかもしれない。

ブルートフォースアタック

Brute Force Attack/Brute Force Password Cracking

Brute Forceとは「力ずくで、強引に」という意味で、文字どおり力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。

パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号化できるか試みる。引用元:atmarkITさん

え?俺は自ドメイン直下に専用のディレクトリ作ってるから、wp-login.phpにはアクセスできねーよって?

なら試しに「自ドメイン/wp-login.php」やってみなはれ!

アクセスできたでしょーー!実はこれって「自ドメイン/honyarara/wp-login.php」というように、Wordpressのため作った専用のディレクトリとかにインストールしててもリダイレクトされるので大した効果はないわけ。

ま、今日までの俺のことなんだけど。ならどうすれば良いのかってことで

SPONSORED LINK

SI CAPTCHA Anti-Spamの導入!

ブルートフォースアタックのような、PCで自動的に片っ端から色んなID、パスワードでログインを試されてしまう場合、いつかは破られてしまう可能性があります。どうせ言葉の組み合わせですからね。なのでPCでは認識できない仕組みをログイン時に取り入れれば安全だよね。

そこでこのSI CAPTCHA Anti-Spamというプラグインが役立つのです。

SI CAPTCHA Anti-Spamの特徴

このプラグインの特徴はWordpressへのログイン時にID、パスワード以外に画像認証で入力を求めてくることです。画像認証は有名なサイトや金融機関でも取り入れられてたりするので、どこかで皆さんも入力したこと有るかもしれませんね。こんな奴です。

gazouninsyou

え?読めないって?

安心していいよ、Wordpressのはここまで読めないこと無いから笑。さすがにこれはひどいよな。

SI CAPTCHA Anti-Spamの設定

プラグインのインストールはいつも通りに「SI CAPTCHA Anti-Spam」で検索してインストールして有効にしてくれれば大丈夫。そして設定は左メニューの[プラグイン]-[SI Captchaオプション]からできる。日本語にも対応しているので特に困ることは無いが、重要なのは「キャプチャ」の項目。

キャプチャ詳細設定画像

特に意図的にチェックを入れているのは4カ所。

  • ログインフォームでキャプチャを有効にする。
  • 登録フォームでキャプチャを有効にする。
  • 「パスワード紛失」フォームでキャプチャを有効にする。
  • コメントフォームでキャプチャを有効にする。

ログイン以外にも下の3つはそれぞれスパムを防ぐことが出来るので入れておいた方が良い。そして一番下にある「オプションを更新」してWordpressからログアウトすると、

gazouninsyou2しっかり画像認証のコードが出ました。さっきのより読みやすいね笑。これでスパムボットからの不正ログインに対してもかなり強くなったね!

でも忘れないでほしいのは、これでもう絶対安心ってわけじゃないってこと。悪い奴らも進化してるからね。

最後に

セキュリティ対策ってさ、1回被害にあってからじゃないと案外やらないんだよね。でも被害にあってからじゃ遅いのだ!

-Blog運営, WordPress

Copyright© cv0629 , 2017 AllRights Reserved.