やっておくべき設定。セキュリティ強化です。
WordPressを使用したCMSサイトはどんどん増えています。
それを狙った悪意あるプログラムもどんどん増えているんでしょうね。
今回はそんな脅威から大切な管理画面を守るWordPressの設定と、プラグインを二つ紹介します。
- ブルートフォースアタック(総当り攻撃)を防止するプラグイン
パスワードやユーザー名を何度も間違えるとそのIPを遮断してくれるプラグインです。 - ログイン履歴を確認できるプラグイン(通知もあり)
ユーザーのログイン時間やIPアドレスを確認できます
その前にまず、WordPressの設定も見直してみましょう!
皆さん、管理者のユーザー名はなんでしょう。もし、「admin」だったら変更した方がいいでしょう。デフォルトがadminだったりするので、そのまま使用されている方もいるかもしれませんが、危険です。
パスワードも、ドメインを含んでいるなど、推察されやすいものは控えましょう。
(数字や記号を含め、英語も大文字小文字を含めるだけでかなりの強化になります)
そのような推察されやすい設定はブルートフォースアタック(総当り攻撃)を受けたときに、ログインされてしまう恐れがあります。
目次
admin(管理者)ユーザーを削除する
- 管理画面メニュー ユーザー>新規追加 から、新しい管理者を追加
- adminでログインしていたら、ログアウトして新しい管理者IDでログインします。
- 元からある「admin」を削除すれば完了です。
Login LockDownの導入
このLogin LockDownというプラグインが、ブルートフォースアタック(総当り攻撃)を防止するプラグインです。
プラグインサイト
プラグイン>新規追加 からLogin LockDownを検索してプラグインをインストール・有効化しましょう。
デフォルトでも十分使えますが、セキュリティの強度を決めることができます。
設定メニューにLogin LockDownが追加されているので、設定画面を見てみましょう。
- A.Max Login Retries
- ログインに失敗しても良い回数
- B.Retry Time Period Restriction
- ログインに失敗しても良い時間
- C.Lockout Length
- ログイン制限を受ける時間
- D.Lockout Invalid Usernames
- ユーザー名を間違えても、Aの回数を減らすか
- E.Mask Login Errors
- エラーメッセージのセキュリティ
- F.Currently Locked Out
- ログイン拒否中のIPアドレス
となります。
つまり、B 分の間に A 回ログインに失敗すると、C 分間そのIPからはログインできません!!という設定が可能です。
Dは、Aの設定を更に強固なものにしてくれます。Yesにしておきましょう。
Fについては、NOの場合、
・ユーザー名を間違えた時
・パスワードを間違えた時
メッセージが出てくるため、”無効なユーザー”とならなければ、「ユーザー名は合ってるよ」と教えていることになってしまいます。
FもYESにしましょう。そうすると、
「ユーザー名かパスワードが違います」というメッセージに変更してくれます。
crazy bone (狂骨)の導入
こちらは、ログイン履歴を確認できるプラグインで、IPも確認してくれるので、便利です。
幸い不正アクセスされた状況になったことがないため、くわしくお伝えすることはできませんが・・・
こちらも、プラグイン>新規追加>crazy boneで検索して有効化してみましょう。
ユーザーメニューに「ログイン履歴」というメニューが追加され、ユーザーやログイン時間、IPアドレスなどの一覧を見ることができます。
僕はIPが動的なので、こんな通知も出てきます。
いやー、これで国旗が外国だったら超ビビりますね。きっと。
ブログのセキュリティ強化に是非導入してみましょう!!