MENU

WordPressのセキュリティ対策プラグインを設定する

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

WordPressをインストールして、必要最低限の設定も済ませて、テーマもインストールして。

「よし、記事を書き始めるぞ!」

と、思っている人も多いでしょう。

でも、ちょっと待って下さい!

WordPressは世界中でよく使われているCMS(コンテンツマネージングシステム)ですが、利用者が多いということは、逆に「不正ログインのターゲット」になる確率が高くなることも意味しています。

WordPressの設定だけでは、ログイン画面のURLは既定値のままなので、攻撃者にはURLがバレバレです。

また、ブログのURLにちょっとした文字列を足してアクセスするだけで、ログインユーザの名前までバレてしまいます。

つまり、ログイン画面のURLがわかって、ログインユーザー名までわかってしまうと、あとはパスワードさえわかれば簡単にログインできるということなんですね。

最後の砦のパスワードも、「総当り攻撃」というハッキング手法があるので、安易なパスワードを設定していると、簡単にログインされてしまいます。

怖いですよね?

既に収益があるブログなんかで、不正ログインされてしまうと収益どころかブログがなくなる可能性もあります。

となると、自分の手で不正ログインを防ぐしかありません。

今回は、不正ログインを防ぐ「SiteGuad WP Plugin」という、WrodPressのプラグインを紹介したいと思います。

目次

WordPressのログイン画面にアクセスできるか確認しよう

プラグインの説明の前に、ちょっと試して欲しいことがあります。

アナタのブログ(サイト)のURLの後ろに、次のどれでもいいので特定の文字列を付け足してアクセスしてください。

例えば、https://XXXXX.XXXXだったとしたら、次のようなURLになります。(緑のマーカー部分の文字列をつける)

  • http://XXXXX.XXXX/login/
  • http://XXXXX.XXXX/admin/
  • http://XXXXX.XXXX/wp-admin/
  • http://XXXXX.XXXX/wp-login.php

もし、この中のの1つでも、次のようなログイン画面が表示されたら、攻撃のターゲットになる可能性が非常に高くなります。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

また、ユーザ名もURLにある文字列を付け足せば、簡単にわかってしまいますが、今から紹介するプラグインで設定すれば、ログイン画面のURLとユーザー名を隠すことができます。

セキュリティ対策プラグイン「SiteGuard WP Plugin」をインストール

(01) WordPressの管理画面にログインし、左のメニューの「プラグイン」(①)→「新規追加」(②)をクリック。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

(02) 「キーワード」に「SiteGuard WP Plugin」を入力すると、自動で検索されます。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

(03) 次のように、「SiteGuard WP Plugin」が表示されるので、「今すぐインストール」をクリック。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

(04) 続けて「有効化」をクリックすると、プラグインが使えるようになります。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

(05) 続けて設定するので、管理画面の左のメニュー「SiteGuard」(①)→「ダッシュボード」(②)をクリック。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

(06)次の設定一覧が表示され、この中で赤枠部分を今から設定します。
まずは、一番上の「ログインページ変更」をクリック。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

(07) 赤枠部分のような「login_65945」という文字列(数字はランダム)が既にセットされていますが、このままにしないで、必ず「推測されにくい文字列」に変更して「変更を保存」をクリックしてください。
この時に、オプションの「管理者ページからログインページへリダイレクトしない」もチェックをつけてください。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

「推測されなくい文字列」と言ってもいろいろありますが、例えば、「自分の名前_誕生日」のようなものでもいいんじゃないでしょうか。
とにかく、上記の規定の文字列とは全く異なる文字列にすることが大事です。
そして、httpsで始まるURL+入力した文字列がそのままログイン画面へのURLとなるので、URLは控えておきましょう。

(08)次は、「画像認証」を変更します。
再度SiteGuradのダッシュボードに戻って、「画像認証」をクリックし、以下のように「ログインページ」では「無効」にチェックをつけて、「変更を保存」をクリックします。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

この「画像認証」は、本当はセキュリティを考えると「ひらがな」のままの方がいいんですが、「ひらがな」こしておくと、ログインするたびに次の画面にようにひらがなを入力しないといけないので、ちょっと面倒なんですよね。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ


なので、あえてここでは「無効」にしましたが、ひらがなの入力が面倒でないという人は、ここの設定を変更する必要はありません。

(09)再度SiteGuradのダッシュボードに戻って、今度は「ログインアラート」をクリックし、以下のように「OFF」にして、「変更を保存」をクリックします。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

「OFF」にしないと、ログインするたびに管理者のメールアドレスに「ログインがありました」のメールが飛びます。

毎回メールが飛んでもいい人は、あえて設定を変更する必要はありません。

(10)再度SiteGuradのダッシュボードに戻って、最後は「ユーザー名漏えい防御」をクリックし、以下のように「ON」にして、「変更を保存」をクリックします。

WordPressのセキュリティ対策プラグインで不正ログインを防ぐ

この設定を「ON」(有効)にすると、URLに特定の文字列をつけてもログインユーザー名が表示されなくなります。
この設定は必ず「ON」にしましょう。

以上で、セキュリティ対策プラグイン「SiteGuard WP Plugin」の設定は完了です。

ログインユーザー名がアドレスバーに表示されなくなっているかを確認する

プラグインの設定が完了したところで、URLに特定の文字列をつけても、本当にログインユーザー名が表示されないのか確認しましょう。

(11)ブラウザのアドレスバーに、アナタのブログ(サイト)のURL+「?author=1」をつけて、アクセスしてみてください。

  • http://XXXXX.XXXX/?author=1

URLを入力したアドレバーが「http://XXXXX.XX」のように表示されたら、設定は問題なくできています。

もし、「http://XXXXX.XX/author/ユーザー名」のように、「author」+「ログインユーザー名」が表示されていたら、「ユーザー名漏えい防御」の設定が「OFF」になっていないか確認してください。

以上で、WordPressのセキュリティ対策プラグイン「SiteGuard WP Plugin」の設定は終わりですが、ここで紹介した設定でも完璧に不正ログインを防げるわけではありません。

ですが、設定するだけで圧倒的にセキュリティを高くすることができるので、「SiteGuard WP Plugin」でセキュリティ対策することをおすすめします。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

CAPTCHA


目次
閉じる