WordPressは世界中で利用されている人気のCMSです。
しかし、その人気ゆえに不正ログインの標的になりやすいという側面も持っています。
不正ログインは、
- サイトの改ざん
- 情報漏洩
など、深刻な被害につながる可能性があります。
今回の記事では、WordPressサイトを不正ログインから守るための対策をわかりやすく解説します。
目次
不正ログインの手口
ブルートフォースアタック(総当たり攻撃)
考えられる限りのIDとパスワードの組み合わせを試す攻撃です。
自動化されたプログラムを使って、短時間で大量の試行が行われます。
リスト型攻撃
他のサービスで流出したID・パスワードのリストを悪用する攻撃です。
複数のサービスで同じID・パスワードを使い回している場合。
被害に遭うリスクが高まります。
SQLインジェクション
データベースを操作する不正なSQL文を送り込む攻撃です。
Webサイトの入力フォームなどを悪用します。
データベース内の情報を盗み取ったり、改ざんしたりします。
クロスサイトスクリプティング(XSS)
悪意のあるスクリプトを埋め込みます。
ユーザーの情報を盗む攻撃です。
Webサイトの脆弱性を利用します。
ユーザーのブラウザ上で不正なスクリプトを実行させます。
脆弱性を悪用した攻撃
- WordPress本体
- プラグイン
- テーマ
などの脆弱性を悪用する攻撃です。
古いバージョンのソフトウェアを使用していると、脆弱性を突かれる可能性があります。
マルウェア感染
コンピューターをマルウェアに感染させます。
そこからIDやパスワードを盗み出す手口です。
フィッシング
偽のログイン画面を作成します。
IDやパスワードを盗み出す手口です。
これらの手口は、単独で使われることもあれば、組み合わせて使われることもあります。
不正ログイン対策の基本
- 強力なパスワード設定:
- 英数字、記号を組み合わせた12文字以上のパスワードを設定
- 推測されやすい単語や個人情報は避ける
- 定期的にパスワードを変更
- ユーザー名の変更:
- 初期設定の「admin」は使用しない
- 推測されにくいユーザー名を設定
- WordPress、プラグイン、テーマの更新:
- 常に最新バージョンを使用し、脆弱性を解消
- 不要なプラグインやテーマは削除
- ログイン試行回数の制限:
- 複数回のログイン失敗でアカウントをロック
- 総当たり攻撃を防止
- 二段階認証の導入:
- ID・パスワードに加え、認証コードを入力
- セキュリティを大幅に強化
- ログインURLの変更:
- 初期設定の「wp-login.php」から変更
- 不正アクセスを試みるユーザーを迷わせる
- セキュリティプラグインの導入:
- 不正ログイン対策に特化したプラグインを導入
- ファイアウォール機能やマルウェアスキャン機能も有効
おすすめのセキュリティプラグイン
SiteGuard WP Plugin
日本語対応で設定が簡単
ログインページURLの変更や画像認証など、多機能
All In One WP Security & Firewall
多機能でカスタマイズ性が高い
初心者には設定が難しい場合も
Wordfence Security
リアルタイムの脅威インテリジェンスを活用
高度なファイアウォール機能
WordPressサイトの不正ログイン対策は、多層的な対策が必要です。
- 強力なパスワード設定
- プラグインの導入
など、できることから始めましょう。
今すぐパスワードを見直しましょう。
強力なものに変更しましょう。
セキュリティプラグインを導入しましょう。
不正ログイン対策を強化しましょう。
定期的にWordPressやプラグインを更新しましょう。
セキュリティ情報をチェックしましょう。
読了ありがとうございました!
この記事に関することでお困りの方は
お気軽にご相談ください!
↓ ↓ ↓
