WordPressのセキュリティ対策方法【不正ログイン防止&スパム対策】

WordPressセキュリティ対策

ウェブサイトを作る上で数多くの方々に使用されている非常に便利なWordPress。


今や世界で最も普及しているコンテンツ管理システムと言われています。


その一方でセキュリティ面に脆弱性が確認されているのも確かです。


今は大丈夫…自分は大丈夫…と思っていても今後ハッキング、不正ログイン、スパムといった脅威に悩まされる可能性があります。


そこで今回は、WordPressのセキュリティ面を強化する方法を紹介していきます。

スポンサーリンク

WordPressが脆弱な理由

不安

WordPressが脆弱な理由として以下の2つが挙げられます。

  • オープンソースであること
  • 内部の構造がわかりやすい


順番に説明致します。

オープンソースであること

オープンソースとは、プログラムのソースコードが一般に公開されているものを言います。


内容が明らかにされているプログラムは、ハッカーにとって何がどう動いているかを把握するのは容易いです。

内部の構造がわかりやすい

WordPressは初期のままだとログインフォームや管理者画面のURLの文字列がパターン化されています。


例えばログインフォームのURLは初期状態では「https://サイトのドメイン/wp-login.php」となっています。


つまりこの場合、かっこ内を検索するだけでログインフォームに辿り着いてしまうわけです。

第三者による不正ログインの恐れがある

WordPressにおける脆弱性で代表的なのが「第三者に勝手にログインされる可能性が高い」ことです。


ログインさえ出来れば当然誰でも内部から操作ができてしまいます。


そうなると情報の改ざんコンピューターウィルスの侵入個人情報の流出など様々な被害を被る可能性が生まれます。

スポンサーリンク

WordPressへの攻撃例

ハッカー

ハッカーは様々な攻撃方法を用います。


その中でも特に有名な方法を3つ紹介します。


相手の出方を知るだけでも対策になるので覚えてきましょう。

ブルートフォースアタック

総当たり攻撃と称される事もあります。


特殊なツールを使用し、ログインフォームで手あたり次第に無数のパスワードを試行する事で正解のパスワードを割り出す方法です。

ゼロデイ攻撃

何かしらの脆弱性が見つかった際、修正用のプログラムが配布される前にその脆弱性を狙った攻撃をすることを指します。


対策が浸透しないうちに弱い部分をいち早く見つけ出し、集中攻撃するハッカーの常套手段です。

リファラースパム

これは直接WordPressに攻撃を行うものとは少し違います。


リファラースパムとは、悪意のあるスパムサイトからターゲットのサイトへ大量アクセスを行い管理者にそのアクセス元を辿らせスパムサイトへ誘導することです。


アクセス解析を逆手にとった悪質な方法です。


詳細はこちらの記事で述べています。
>>リファラースパムの正体と対策

スポンサーリンク

WordPressのセキュリティ対策方法

衝突

ここから対策方法について紹介していきます。


今回行う対策は「不正ログイン防止」「スパム対策」の2つです。


この2つをやっておくだけで確実に防御性能が高まります。

不正ログイン防止

まずは不正なログインを防ぐため以下3つの対策をします。

  • ユーザー名、パスワードを推測しにくいものに変更
  • ログインフォームのURLを変更
  • AI認証または画像認証を追加

ユーザー名、パスワードを推測しにくいものに変更

サイト管理者名とユーザーIDは関連性が無いものを推奨します。


パスワードも単純な数列や管理者名を連想させるようなものは避けましょう。

ログインフォームのURLを変更

ログインフォームのURLをデフォルトから変更し、簡単に検索されないようにします。


設定する際はSiteGuard WP Pluginというプラグインを使うのがおすすめ。


URL変更以外にも画像認証、ログインアラートといった機能があるのでサイト全体のセキュリティを高める効果があります。


SiteGuard WP Pluginの導入方法と機能はこちらの記事で解説してます。

AI認証または画像認証を追加

認証機能の追加にはプラグインInvisible reCaptcha for WordPressを導入しましょう。


Invisible reCaptcha for WordPressの導入方法と機能はこちらの記事で解説しています。

Googleが提供しているセキュリティ対策プラグインなので信頼できます。


導入すると以下の画像のように保護を示すバッジが表示されます(設定で非表示にする事も可能)。

リキャプチャ保護画像

「私はロボットではありません」という表示を恐らく見た事があるかと。


あれもreCaptchaによる保護がなされている証拠です。

スパム対策

下記を行い迷惑コメントや不正アクセスといったスパムを防ぎます。

  • プラグインでブロック
  • Googleアナリティクスのフィルタ設定

プラグインでブロック

スパム対策プラグインは有料(商用利用の場合のみ)と無料のものがあります。


無料のほうは手前に説明したreCaptchaです。スパム対策もできます。


性能的に大差は無いため、好きなほうを選んでOKです。

Googleアナリティクスでフィルタ設定

Googleアナリティクス側でスパムが疑われるIPアドレスまたはドメインをフィルタ設定によりブロックする方法です。


IPアドレスでブロックする方法はこちら。
>>アナリティクスでIPアドレスを除外する方法
※上記の記事では自分のアクセスを除外する方法となっていますが、自分のアドレス以外でも適用する事が可能です。


ドメインでブロックする方法はこちら。
>>アナリティクスでドメインを除外する方法

まとめ:ブログを守ろう

セキュリティ

WordPressは標準状態だとセキュリティが不十分です。


今回紹介した事を取り入れ、万全の状態を保って頂ければ幸いです。


あなたのサイトはあなた自身が守っていく必要があります。


早めの対策を心がけていきましょう!

コメント

タイトルとURLをコピーしました