ワードプレス|ブロックした悪意あるログイン試行への対策とプラグインまとめ

 

 

こんにちは!

今日、ブログの管理画面にログインしたところ、恐ろしいメッセージを見つけました。

プラグイン『Jetpack』のセキュリティ機能の部分に『ブロックした悪意あるログイン試行』の件数が7,622件と表示されていたんです。

誰かが約8,000回も私のブログにログインしようとしたってこと?しかも悪意を持って?!

えっ、超こわい!!
(((゚Д゚))))))

ということで、さっそく『ブロックした悪意あるログイン試行』への対策をしてみました。『Site Guard WP Plugin』をいうプラグインで簡単にできましたので、ぜひ試してみてくださいね^^

Sponsored Link

 

【ワードプレス】ブロックした悪意あるログイン試行とは

ワードプレスへの『ブロックした悪意あるログイン試行』は、ブルートフォースアタック(総当たり攻撃)という手法で行われることが多いようです。

総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。

出典:wikipedia

数字やアルファベットの組み合わせを片っ端から試して、不正ログインしようとしているというわけですね。ちなみに、不正にログインされてしまうと、ブログが乗っ取られて書きかえられたりしてしまうようです。

やだ、怖すぎるし、困りすぎる!
∑(゚Д゚)!

今のところ『Jetpack』がブロックしてくれているようですが、このままでは怖くてたまりません。調べてみると、ネット上には同じ悩みを抱えているブロガーさんがたくさんいらっしゃって、中には数万件の不正ログイン試行があった方も。

私の約8千件という数字はいつからの累計なのか分かりませんが、ブログが乗っられるなんて絶対に嫌なので、セキュリティ対策をすることにしました。

Sponsored Link

【ワードプレス】ログインページへの不正アクセスは『SiteGuard WP Plugin』で対策しよう

ログイン画面への総当たり攻撃に対しては、まずワードプレスのログイン画面のURLを変更することが効果的です。

 

セカイエ

特に変更をしていなければ、デフォルトのログイン画面のURLは、

  • http://ドメイン/wp-admin
  • http://ドメイン/wp-login.php

このどちらか。つまり、誰にでもログイン画面が分かってしまうということだね!

 

ログイン画面を家のドアに例えると、知らない人がドアに体当たりして、家の中に押し入ろうとしている状態ですね。しかもすごい速さで何千回もアタックし続けてくる感じ。

こ、怖い!

なので、家の住所ごと変更して場所を分からないようにしてしまおうというのが、『URLを変更する』対策です。

これは『Site Guard WP Plugin』というプラグインで簡単に変更することができます。

ログイン画面のURLを変更する以外にも、あの手この手でブログを守ってくれる便利なプラグインですので、ぜひ導入してみてくださいね!

 

①ログイン画面のURLを変更

『Site Guard WP Plugin』のセットアップの手順をご説明しますね^^ すごく簡単です。

まず、『プラグイン>新規追加>SiteGuard WP Plugin』でインストールして有効化。

インストールすると、ワードプレス管理画面の左側のメニューに『SiteGuard』が現れます(『設定』の下あたり)。クリックして『SiteGuard』のダッシュボードへ。

 

こちら↓が『SiteGuard』のダッシュボードです。

チェックが付いているところが『ON』になっている機能ですね。上から2つ目の『ログインページ変更』をクリックし、ログイン画面のURLを変更して行きます。

 

『ログインページ変更』画面がこちら。

『変更後のログインページ名』を好きな名前に変更して、最後に保存します。保存すると、メールが送られてきます。そこに新しく設定したログイン画面のURLが載っていますので、ブックマークしておいてくださいね!

 

②管理ページアクセス制限

『SiteGuard』ダッシュボードから、一番上の『管理ページアクセス制限』を設定します。


ログインしていないIPアドレスに対して、管理ページへのアクセスを404(Not Found)で返してくれるというものです。

 

③ログイン履歴の確認機能

『SiteGuard』ダッシュボードから、『ログイン履歴』を確認することもできます。

写真↑は、左がダッシュボード、右が『ログイン履歴』画面に移動したところですね。

ログイン履歴では、ログイン成功・失敗に関わらず記録が残ります。不正なログインは『失敗』で表示されるはずです。

また、もっと詳しくログイン履歴を知りたい場合は、『Crazy Bone』というプラグインを使うと、IPアドレスに加えて、アクセス元の国まで見ることができますよ^^

 

④画像認証をオン

ログイン画面が写真のように変わります。ひらがなの画像認証が追加されていますね^^

ログインするために、ユーザー名、パスワード、画像認証の入力が必要になるため、日本語以外の不正ログインを防いでくれます。画像認証は『ひらがな』が効果的ですよ(デフォルトはひらがなで設定されています)。

ちなみに、『SiteGuard』の設定は、最初からオンになっているので特にいじらなくても大丈夫です。

2018年8月追記

対策してから約4ヶ月ほど経ちましたが、今のところ、悪意あるログイン試行の数は増えていません。ホッと一安心です^^

 

まとめに

ある日、ワードプレスを開いたら『ブロックした悪意あるログイン試行』のメッセージ。本当にびっくりしましたし、背筋が凍りました。

コツコツ大切に育ててきたブログが乗っ取りの被害にあったら…想像するだけで涙が出そうですが、現実にそういう攻撃に晒されていることを知ることが出来たので、良い経験になりました。

『Jetpack』を導入しておいて本当に良かったです!これから今日導入したセキュリティプラグインの効果を観察していきたいと思います^^

セキュリティ対策にはくれぐれも気を抜かずに、お気をつけください。

 

Sponsored Link