WordPressは管理画面にログインをして作業をする仕組みのため、どうしてもブルートフォースアタックを受けやすくなります。
ブルートフォースアタックを受けてハッカーに侵入されてしまうと、WordPressが乗っ取られて改ざんや悪質なマルウェアを仕掛けられたりします。
マルウェアによって、個人情報を抜き取られてしまったり、フィッシング詐欺のサイトに誘導されたりすると、サイトを訪問してくれた第三者に多大な迷惑をかけることになってしまいます。
また、仮にハッカーに侵入されなかったとしても、ブルートフォースアタックを受けることで、サーバーに過大な負荷がかかったりします。
ここでは、WordPressをブルートフォースアタックによる乗っ取りから守るには、どうすればいいかについて詳しく解説をしています。
WordPressへの日常的なブルートフォースアタック
大企業や公的機関のホームページならともかく、個人が運営しているWordPressがブルートフォースアタックによる乗っ取りを狙われるなんてありえないと思う人がいるかも知れません。
でも、その考えはいますぐあらためるべきです。
なぜなら、サイトの規模や重要性などに一切関係なく、WordPressへのブルートフォースアタックは日常的に行われているからです。
このことは、セキュリテイ対策プラグインのログイン履歴を見てみればすぐに分かります。
自分のサイトがこんなにも頻繁に攻撃を受けているのかと、びっくりするに違いありません。
以下は弊社で管理しているサイトのログイン履歴ですが、何者かが短時間の間にログインを繰り返して、プラグインによってロックされていることがお分かりになるかと思います。
つまり、WordPressでサイトを構築したならば、どんなサイトであれ普通にブルートフォースアタックを受けるものだと認識する必要があります。
こういう現実をしってしまうと、何も対策をしないでおくことが、いかにリスクが高いかがお分かりになるかと思います。
ハッカーを舐めていると、そのうち大変なことになりかねません。
●ブルートフォースアタックは日常的に行われている
●どんなサイトであれ普通にブルートフォースアタックを受けるものだと認識する
ブルートフォースアタックの破壊力とパスワード
ブルートフォースアタック対策として、アルファベットと数字をミックスした8桁以上のパスワード設定が推奨されることが多いです。
そのため、8桁のパスワードであれば、ほぼ安全だと勘違いをしてしまう人もいると思います。
しかし、8桁のパスワードで安全だったのは、一昔前までのことです。
最近のブルートフォースアタックの攻撃力はすさまじく、アルファベットと数字を混ぜた8桁のパスワード程度では、ものの1時間ほどで突破されてしまいます。
残念ながら、いまや8桁程度のパスワードでは、まったく安心できないことになります。
これがアルファベットと数字をミックスした10桁のパスワードになりますと、突破をするまでに半年ほどかかります。
さらに12桁だと突破をするまで約2000年かかります。
12桁になると、たとえアルファベットだけのパスワードであっても、突破に300年ほどかかります。
このことから、ハッカーによるブルートフォースアタックからWordPressを守るためには、12桁以上のパスワード設定が望ましいということになります。
パスワードの強度をチェックするサイトなどもあるようですが、そのサイトにパスワードを抜かれる危険があるので利用はおすすめしません。
そういったサイトを利用しなくても、12桁以上のパスワードを設定すれば、まず大丈夫と考えていいでしょう。
逆に絶対にやってはいけないのが、名前や生年月日、電話番号などをパスワードに設定することです。
そういったパスワードであれば忘れにくいことは確かですが、ハッカーを甘く見ると痛い目にあいます。
●8桁のパスワードで安全だったのは、一昔前まで
●8桁のパスワード程度では、ものの1時間ほどで突破される
●12桁以上のパスワード設定が望ましい
WordPressのログインURLを分かりにくいものにする
WordPressに対するブルートフォースアタックを受けにくくする対策で、最も効果的な方法の1つがログインURLを変更する方法です。
WordPressは、デフォルトのままだと誰でも簡単にログイン画面にたどり着くことができます。
サイトURLの末尾に「/login」「/admin」「/wp-login.php」などを追加することで、簡単にログイン画面が表示されます。
これはつまり、泥棒に住所がばれてしまっているのと同じ状態ですので、ハッカーに狙われやすくなるのは当然です。
ですので、サイトURL末尾の部分をオリジナルなものに変えてしまえば、ブルートフォースアタックそのものを受ける可能性が低くなるわけです。
WordPressのログイン画面へのURLを簡単に変更するためには、「WPS Hide Login」というプラグインが便利です。
このプラグインは利用することで、ログイン画面のURLを任意に設定できるだけではなく、URLの末尾が「/wp-login.php」「/wp-admin」といったデフォルトのログインURLにアクセスがあると自動的に404ページに飛ばすことができます。
ただし、自分で設定をしたログインURLを忘れないように、必ずブックマークをしておく必要があります。
●最も効果的な方法の1つがログインURLを変更する方法
●サイトURL末尾の部分をオリジナルなものに変えてしまえば、ブルートフォースアタックそのものを受ける可能性が低くなる
●自分で設定をしたログインURLを忘れないように、必ずブックマーク
WordPressのログインユーザー名を特定されないようにする
WordPressにログインをするときには、ユーザー名とパスワードを入力する必要がありますが、ユーザー名というのは簡単に特定されてしまいます。
デフォルトの「admin」のままにしておくのは論外ですが、オリジナルのユーザー名にしていてもすぐに見破られてしまいます。
WordPressサイトのURLの末尾に「?author=1」をつけて、それをブラウザの検索窓に入力してリターンキーを押せば、ユーザー名が表示されてしまうのです。
もちろん、パスワードを12桁以上にしてあれば、ユーザー名が特定されたとしても、容易にはハッカーに突破されることはありませんが、ユーザー名を特定されないに越したことはありません。
ハッカーにユーザー名を特定されないようにするためには、「Edit Author Slug」というプラグイン利用する方法が簡単です。
このプラグインをインストールするだけで、URLの末尾に「?author=1」を入力してもユーザー名が表示されることはなくなりますし、投稿者アーカイブからユーザー名を推測することもできなくなります。
●ユーザー名というのは簡単に特定されてしまう
●プラグイン利用する方法が簡単
ブルートフォース攻撃される標的を減らす
ブルートフォースアタックでは、WordPressの機能を制限なく利用できる、管理者権限のユーザーが狙われます。
WordPressは複数の人で管理することが多いため、複数のユーザー登録をすることが多いですが、管理者権限のユーザーを増やしてしまうことは、セキュリティ的にはとても問題があるといえます。
可能であれば管理者権限のユーザーは1人ないし2人に限定して、他の人は編集者や投稿者権限とするのが無難です。
単純に、管理者権限のユーザーが2人、3人と増えることによって、ブルートフォースアタックの被害に会う可能性が2倍~3倍に増えてしまうことになるからです。
つまり、ハッカーに狙われる標的はなるべく少ない方がいいということになります。
投稿者や編集者であれば、管理画面から操作できるのは投稿記事や固定ページ編集などで、テーマやプラグインなどWordPressの根幹にかかわる部分の操作はできませんので、ある程度の人数を登録しても、リスクは最小限に抑えることができます。
●WordPressの機能を制限なく利用できる、管理者権限のユーザーが狙われる
●管理者権限のユーザーは1人ないし2人に限定
●ハッカーに狙われる標的はなるべく少ない方がいい
ブルートフォースアタックは海外からが圧倒的に多い
ブルートフォースアタックは、海外から仕掛けられることが非常に多いです。
そのため海外からのアクセスを制限するだけで、ブルートフォースアタックの標的にされる確率は大幅に低くなります。
最近の国内レンタルサーバーは、海外からのWordPress管理画面へのアクセスを制限する機能が備わっています。
この機能をONの状態にしておけば、海外からブルートフォースアタックを受ける可能性は低くなります。
ただし注意をしなければいけないのが、サイトのオーナー自身が海外からWordPressの管理画面にアクセスする可能性があるときです。
海外に行くときに事前にこの機能をOFFにしておかないと、自分自身がWordPressにログインできないという悲劇に遭遇します。
また、海外のレンタルサーバーだと、日本以外からのアクセスを制限するということができません。
ブルートフォースアタックの被害を受けないためには、日本国内のレンタルサーバーでWordPressを運用するようにした方がいいでしょう。
●海外からのアクセスを制限するだけで、ブルートフォースアタックの標的にされる確率は大幅に低くなる
●海外からのWordPress管理画面へのアクセスを制限する機能が備わっている
●日本国内のレンタルサーバーでWordPressを運用するようにした方がいい
プラグインでWordPressをブルートフォースアタックから守る
WordPressをブルートフォースアタックから守る方法は、これまで紹介してきましたようにさまざまな方法がありますが、最も手軽で効果があるのがブルートフォースアタック対策に特化したプラグインを利用する方法です。
このブルートフォースアタック対策用のプラグインとして最もおすすめできるのが「SiteGuard WP Plugin」です。
このプラグインには、ハッカーによるブルートフォースアタックからWordPressを守るためのさまざまな機能が備わっています。
管理画面のログインページのURL変更や、ユーザー名漏えい防止機能、ログイン時の画像認証機能などの強力な不正ログイン機能により、ハッカーの侵入を未然に防ぎます。
また、WordPressにログインがあったことをメールで知らせてくれたり、何度もログインの失敗を繰り返す接続元をロックしたりする機能も備わっています。
このプラグインが1つあれば、先ほど紹介したログインURLを変更するための「WPS Hide Login」や、ユーザー名漏えい防止のための「Edit Author Slug」などのプラグインは必要なくなります。
ただし、「SiteGuard WP Plugin」を使うときに、1つだけ注意をしなければならない機能があります。
それは「管理ページアクセス制限」という機能です。
この機能をONにしていると、24時間以上アクセスのなかったIPアドレスが弾かれてしまいます。
サイトのオーナー自身が、管理画面にアクセスできなくなってしまったのではシャレになりません。
1日に何度もWordPressにログインするような人以外は、この機能はOFFにしておいた方が無難です。
ここまで、さまざまなブルートフォースアタック対策を紹介してきましたが、運悪くハッカーに侵入されてサイトが改ざんされてしまったり、マルウェアを仕掛けられてしまったりしたときは、以下のページより弊社のWordPress復旧サービスをご利用ください。