ブログやホームページ(Webサイト)を作っている人は多いと思います。
W3Techsの調査によると、2017年12月の時点でのWordPressの世界でのシェアは29.2%です。これはWebサイト全般のシェア率です。
つまり、世界のサイトのほぼ3つに1つはWordPressで制作されているということになります。
さらにCMSだけに限って見るとWordPressのシェア率は59.9%とほぼ60%。CMSで2位のJoomlaのシェア率は6.6%しかないことを考えれば、WordPressはCMSにおいてほぼ1強となっています。
WordPressが世界的に有名になればなるほど、情報が増えたり便利なプラグインの開発者が増えたりなど益々便利になる一方で、Wordpressの脆弱性を狙ったりして乗っ取りや改ざんなどを行う者・試みようとする不届き者も益々増える一方です。
当ページでは、あなたのWordpressで作ったブログやサイトを、不届き者の攻撃から守る方法を紹介していきます。
adminというユーザ名は絶対に使わない、即変更
以前は、Wordpressのディフォルトユーザだったadminというユーザ名を絶対に使わないようにしましょう。使っている場合は、即変更しましょう。Username Changerなどのプラグインを使用すれば簡単に変更できます。
関連:WordPressで使ってはいけないユーザ名とその変更方法
固定ページや投稿にユーザ名を表示させない
adminを使わなかったとしても、ユーザの設定がデフォルトのままでは、書いた記事の中に、ユーザ名つまりログインIDが表示されてしまいます。
表示される場所はテーマによって少しずつ違いますが、このままでは「IDはこれです。」「攻撃を仕掛けてみてください。」と言わんばかりの状況です。投稿者を表示しない、または、投稿者としてユーザ名でなくニックネームを表示するようにしましょう。
ユーザログイン履歴を記録する
adminというユーザ名が存在しなくても、不正ログインされる可能性はあります。不正ログインを未然に防ぐためにユーザログイン履歴の保存やユーザのログインだけでなくページ作成や変更や削除などの履歴を保存して、不正ユーザの出現を防ぎましょう。
ユーザのログイン成功・ログイン失敗の履歴は、Crazy Boneというプラグイン(作者のページへリンク)で簡単に録り確認することができます。
ユーザのログイン成功・ログイン失敗の履歴だけだけでなく、ログイン後のページ作成・変更・削除やユーザの作成などの行動履歴も録りたい場合は、Audit Trail などのプラグインで行うことができます。
ログイン失敗の最大再試行回数、ロックアウト時間の設定
adminというユーザ名を使わない、ユーザログイン履歴を確認するだけでは、不正なログインなどの攻撃を防ぐことはできません。なぜならば、ロボットによって自動的に総当たりでユーザ名やパスワードの総当たりで検索を掛け攻撃を仕掛けてくる(ブルートフォース攻撃)可能性があるからです。このような攻撃に対して、ログイン失敗の最大試行回数やロックアウト時間を設定することで、攻撃を防ぐことができます。このブルートフォース攻撃に対して役立つプラグインが、Loginizerです。
Loginizerは、IPアドレスの表示やログイン失敗のログの表示はもちろん、最大再試行回数、ロックアウト時間、ロックアウト最大回数、ブラックリスト、ホワイトリストなどの設定もできる便利なプラグインです。
ログイン画面へのURLを変更する
WordPressへの管理画面へは、
- http:/wp-admin/
- http:/wp-login.php
- http:/login
- http:/admin
- http:/dashboard
でログインすることができます。
これらのアドレスを変更して、ログイン画面がわからなくなれば攻撃される可能性は減るはずです。
このログイン画面へのURLは、Login rebuilderというプラグインで簡単に変更することが出来ます。