あなたはWordPressのセキュリティ対策、やっていますか?WordPressは世界でもっとも人気の高いCMSであるため、その分悪意ある人達からの攻撃も多いです。
そもそもWordPressのログイン画面が簡単に分かってしまうというのが問題なわけで、ログイン画面のURLをわからなくすればいいのでは?と思ったのが今回の記事のキッカケです。
ログイン画面のURLを簡単に変更するプラグインを発見したので共有しておきたいと思います。
今までの対策はこんな感じ
- ログインID、パスワードを複雑にする
- ログイン画面にベーシック認証をかけて2段階のログインとする
- プラグインを利用して複数回以上ログインに失敗したら一定期間ログイン画面にアクセスできないようにする。
などなど。
そもそも、なんでWordPressサイトが狙われるのか?
そもそもWordPressに人気が出たために、攻撃対象となっているわけです。
数年前までは「Macはウイルスにかからない。」という都市伝説がありましたが、それはMacよりもWindowsの方が主流だったからにすぎず、Macユーザーが増えると同時にMacのウイルス被害も増えていきました。WordPressも同じで、流行っているものにはハイエナが近づいてくるものなんですね。
ログインIDやパスワードを複雑にするというのは必須の対策ですが、それでもブルートフォースアタックという総攻撃で破られてしまうこともあります。
そうなるとサーバー内にウイルスのような、悪意あるプログラムが埋め込まれてスパムメールを大量に送られて、サーバーが利用できなくなる…なんて最悪の自体も考えられます。
他の対策として、ログインを複数回間違えるとログイン画面にアクセスできなくしたり、ログイン画面を二段階にしたりといろいろと対策があるのですが、どれも完全なものではありません。
そもそもログイン画面のURLが簡単に分かってしまうことが原因なのでは?
WordPressのログイン画面のURLは単純です。
ht tp://example.com/wp-adminかht tp://example.com/wp-login.phpのどちらでもアクセス出来てしまいます。これはWordPressを使ったことがある人なら容易に推測できます。
ログイン画面が分かってしまえば、何度もいろんなID、パスワードでログインを試して、乗っ取ってしまうというブルートフォースアタックで攻撃を受け最悪の場合サイトが乗っ取られてしまいます。
だったらログイン画面のURLを変更してしまおう!
ログイン画面のURLを変えちゃえばいいじゃん。というシンプルな結論になりました。じゃあそれをどうやってやるの?という話しですが、下記で紹介するプラグインを使えば簡単に出来てしまいます。
- プラグインインストールの際は必ずバックアップをとって下さい。環境によってはプラグインがエラーとなる可能性があります。インストールは自己責任で!
ログイン画面のURLを変更するプラグイン「Login rebuilder 」
Login rebuilder というプラグインは、ログイン画面のURLを自分で変更できるというスグレモノ!
ログイン画面がわからなければ、攻撃しようがないですからね。
このプラグインを使用すればセキュリティレベルはかなり上がると思われます。
Login rebuilderの設定方法
ダウンロード
まずはプラグインをインストールします。プラグインの「新規追加」から「Login rebuilder」と検索すればすぐに出てくるかと思います。ダウンロードする方はこちらから。
ログイン画面のURLの設定
設定 ≫ ログインページ より設定を行います。
このような設定画面が開くので、無効なリクエスト時の応答、新しいログインファイル、ステータスを設定して保存すれば完了です。
- 無効なリクエスト時の応答
デフォルト時のログインURLや(htt p://example.com/wp-admin)、ここで設定したものとは違うURL(上記の場合はhtt p://example.com/your-login.php)以外のアドレスでアクセスしてきた場合の処理となります。自分は「サイトトップへリダイレクト」としています。 - 新しいログインファイル
新しいログインURLのアドレスを指定します。推測されづらいもので任意の名前をつけて下さい。※ここに入力したものが新しいログインURLとなるので忘れないように! - ステータス
上の2つの設定が完了したら稼働中にして保存
設定としては以上です。簡単ですね。
確認してみる
実際に確認してみましょう。まずはプラグインが稼働しているかどうか、以前のURLで管理画面にアクセスしてみます。すると…
ちゃんとトップページにリダイレクトされました。
では今度は先ほど作成したログインURL(localhost/your-login.php)でアクセスしてみると…
ちゃんとアクセス&ログインができました!
これでwp-login.php or wp-adminでのアクセスができなくなり、新たに作成したyour-login.phpでしかログインできなくなったということになります。
今回は紹介用にローカル環境のデータで、URLもわかりやすくさせていただきましたが、実際に作成する際にはもっと推測されない名前をつけときましょう!
ちなみに、WordPressのルートディレクトリを見てみると、先ほど管理画面から作成した your-login.php というファイルがつくられていました。
Login rebuilder を使う場合の注意点
- 注意点として、WordPressのログイン画面はwp-login.phpというファイルを使っているのですが、このファイルは削除しないで下さい。Login rebuilderでは別の場所にログインファイルをつくって、そこからしかアクセス出来ないように設定しているだけなので、大本のwp-login.phpは削除しないでください。
- また、プラグインを無効化しても、任意で作成したログインURL用のファイルが残っていると、そのアドレスからログイン出来てしまうので、使用をやめる場合はそのファイルも削除する必要があります。
- WordPressのルートディレクトリが書き込み禁止になっているとうまく作成できません。
あとがき
今回はWordPressのセキュリティを高める方法について書いてきました。WordPressの制作ができる方でもこのセキュリティに関して知識が浅いということは多いです。制作の知識が浅いブロガーさんだったらなおさらですね。
アクセスが増えれば増えるほど攻撃の危険も増えてくるので、せめてこのプラグインでリスクヘッジしておきたいところです。
…というか、このプラグインの機能、WordPress本体にデフォルトで組み込まれるべきだと思うんですけどね。最初にログインURLを任意に設定できればブルートフォースアタックに関してはある程度抑制できると思うんですが。。。
と思う今日このごろでした。
- もちろん、このプラグインを入れておけばオールOK!というわけではありません。あくまでセキュリティレベルを高めるという意味です。