WordPressのセキュリティ対策~ちょっとカスタマイズしてみませんか編~

WordPressのセキュリティ対策~ちょっとカスタマイズしてみませんか編~
Bookmark this on Hatena Bookmark

こんにちは。野田貴子です。今回からWordPressのちょっとしたノウハウを紹介していきます。興味がある方はご覧ください。また個人的に思うのですが、OSSは無料で使えますが、企業で使うなら保守を受けた方が安心です。プライム・ストラテジーは他社が構築したWordPressも保守しますので、保守のご依頼はプライム・ストラテジーにご相談されるとよいと思います。(他社の保守をする会社って聞いたことないです)興味がある方は、こちらをご覧ください。

さて、WordPressは大多数の人に利用されているフレームワークであるがゆえに、秘密にしておきたいセキュリティの情報も多くの人が知っていることになります。たとえば、管理者ログインページのURLや、データベースの構成などです。

悪意のある攻撃者がウェブサイトのURLの後ろに「/wp-admin」を付けてアクセスし、ありがちな「root」と「password」というアカウント情報を使ってログインを試みたところ、ログインに成功してしまったら大変なことになります。

そうならないために、セキュリティ対策のカスタマイズをして攻撃されるリスクを減らしてみましょう。

(1) 管理者ログインページのURLを変える

効果 ★★★☆☆

管理者ログインページのURLを「/wp-admin」以外に変更しておけば、部外者から容易にアクセスされる心配は少なくなります。いっそのこと「/w34guotlsejmi439」のようなランダム英数字にしておいても良いかもしれませんね。

WebサーバーやPHPなどの知識がある方は、ご自分でカスタマイズされても良いでしょう。そうでない場合は、WordPressのプラグインでも管理者ログインページのURLを変えられますので、比較検討してみることをお勧めします。

(2) 管理者ログインページにBasic認証をつける

効果 ★★★★★

たとえ部外者が管理者ログインページのURLを発見したとしても、Basic認証で追加のIDとパスワードを求められれば、管理者ログインページへたどり着く可能性が激減します。

Basic認証はApacheやNginxなどで直接設定することもできますし、WorePressのプラグインで簡単に実現することもできます。

(3) 管理者のIDとパスワードを難しいものにする

効果 ★★★★☆

管理者を彷彿させるような単語をIDに設定するのはご法度です。辞書にない英数字で、文字数が多いものを使うのが良いでしょう。ただし、IDとパスワードを覚えられないからといって、安全ではない場所にメモを残すことは危険です。メモはインターネットにつながっていない、自分だけが見られる場所に置いておくのが安全でしょう。

(4) ログインに失敗した人をブロックする

効果 ★★★★☆

管理者ログインに何度も失敗した人は、制限が解けるまでアクセスできないようにします。ここで注意しておきたいのは、パスワードを何度も間違えた「ユーザー(ID)」だけをロックする方法は、「ブルートフォース攻撃」にしか効かないので効果が薄いということです。同じパスワードを使いまわし、IDだけをランダムに変更して攻撃する「リバース・ブルートフォース攻撃」はこのブロックをすり抜けてしまいます。ログインに失敗したIPをロックする方法もありますが、IPをころころ変更できる攻撃者もいるため厄介です。

「ログイン試行(Login Attempts)」などの単語でプラグインを検索してみてください。

(5) ログイン時にIDとパスワード以外の情報を入力させる

効果 ★★★★★

2段階認証、2要素認証を行うプラグインがあります。
2段階認証は、ログインページでIDとパスワードを入力した後に、登録されたメールアドレスにログイン用の秘密のURLが届くなど、2段階でログインする方法です。
2要素認証は、パスワードなどの「知識認証」、一時的に発行されるトークンなどの「所有物認証」、指紋などの「生体認証」のうち、2つを組み合わせてログインする方法です。

多段階認証や多要素認証を行うWordPressプラグインで設定することができます。

(6) 管理画面を使わない

効果 ★★★★★

技術的な難易度は上がりますが、管理画面そのものを除去してしまう方法がいくつかあります。

たとえば、WordPressをバックエンド(API)として使い、フロントエンドはWordPress以外のもの(ReactやVue.jsなど選択肢はたくさんありますね)を使う方法があります。また、WordPressのデータベースから静的ページを生成し、その静的ページだけをインターネットに公開する方法もあります。静的ページならば限られた要求にしか応えられないので、攻撃されるリスクは激減します。Shifterというサービスや、より簡単なプラグインもいくつかあります。

いかがですか?参考になるところがあれば幸いです。

なお、KUSANAGIに関してちょっとお聞きしたいことがある方は、以下のKUSANAGIフォーラムもご利用してみてください。
https://users.kusanagi.tokyo/

Bookmark this on Hatena Bookmark

WordPressカテゴリの最新記事