WEB改ざんやブルートフォースアタックへの簡単な4つの対策

カレンダーDate: | カテゴリーCategory:WordPress向けレンタルサーバー紹介【環境設定の解説も】
※景品表示法に基づく表記:本記事には商品の広告が含まれています
セキュリティイメージ

2013年4月中旬に発生した、大規模なブルートフォースアタック※1。8月下旬にロリポップにおいて発生した、8,438件のWEB改ざん※2

ワードプレスが、CMSとしてメジャーになっていくのは喜ばしいことですが、クラッカーの攻撃目標としてもメジャーになっていることは否めません。

こんな状況だからこそ、あなたのサイトはあなた自身で守る必要がある。

今日は短時間で簡単に設定できる、ワードプレスのセキュリティ対策を4つ紹介します。

※1:ブルートフォースアタック=あらゆるパターンのパスワードを順番に試すパスワード解析方法。
※2:WEB改ざん=Webページやログ・プログラムを管理者の許可を得ずに書き換える行為。

対策1:最新バージョンへの更新を怠らない!

クラッカー達は、ワードプレスやプラグインの脆弱性(乗っ取りや漏洩の原因となりうるシステム上の欠陥)を狙って攻撃してきます。

そして、ワードプレスやプラグインの開発元は、ほぼバージョンアップの度に脆弱性を解消しています。

なので、セキュリティUPのためには、使用しているものを常に最新バージョンに保つべきです。

対策2:使っていないファイルは削除する!

ロリポップにおいて発生した、クラッカーによるWEB改ざん※2

攻撃のとっかかりは、インストールされないままサーバー上に残っているワードプレスファイルを狙ったものでした。

要するに使っていないプログラムファイルは、脆弱性を持ちやすいわけです。
最新バージョンに保たれることもないでしょうし。

サイトやプラグインなどなど、使用していないものはすぐに削除してください。

対策3:ユーザー名とパスワードを複雑に!

たいていの物事はシンプルな方が良いですが、ことログイン情報についてはこの限りではありません。

ブルートフォースアタック※1では、まず「admin」というユーザー名に当たりをつけて攻撃し、突破できたら「password」というパスワード文字列で攻撃してきます。
これらの文字列で設定されていることが多いからです。

ログイン情報に無頓着ですと、上記のようなIDやパスワードにしてしまいがちになります。

特にパスワードはワードプレス側が推奨する「7文字以上」でも短すぎると思います。

倍である「14文字以上」は欲しいところです。

なお、ワードプレスは、登録されているユーザー名を変更することはできない仕組みになっています。

なので、変更したい場合は、新しい名前のユーザーを作って管理者権限を移行し、古い方のユーザーを削除するようにしてください。

対策4:ログイン画面にアクセス制限を!

ログイン画面にアクセス制限には、ログインを2段階認証にする方法とログインの失敗回数に制限をかける方法があります。

ここでは、プラグインで簡単に設定がしやすい、回数制限を紹介したいと思います。

ログイン失敗回数制限をかけるプラグイン「Limit Login Attempts」

ワードプレスにはログインのチャレンジ回数に制限がありません。

だからこそ、ブルートフォースアタック※1のかっこうの餌食になってしまうわけです。

対策のために、プラグイン「Limit Login Attempts」を導入しましょう。

これはログイン数が一定数に達すると、そのIPアドレスに対して一定時間ロックをかけるプラグイン。

ワードプレス管理画面:左サイドバーのプラグイン→新規追加から、Limit Login Attemptsで検索すると、簡単にインストールできます。

設定は、通常デフォルトのままで良いかと思います。

※デフォルトは、「同じIPアドレスで4回失敗すると20分ロックがかかり、4回ロックがかかると24時間のロックになる」という設定。

また、ロックされたIPを記録もしてくれるプラグインです。

ワードプレスのセキュリティ向上対策のまとめ

以上、セキュリティ向上のための4つの対策を紹介しました。
どれも簡単ですし、4つ全部行っても数十分ですので、ぜひご活用いただければと思います。

ただ、いくら対策を強化しても、使用しているホスティングサーバー自体が脆弱では、心もとないです。

そういう意味では、こちらのサーバーを使用することが、最良のセキュリティ対策となるのかもしれません。

Tags


Trackbacks & Comments

Trackback URL for this post:

Leave a Reply

flight