WordPress乗っ取り対策は画像認証とフェールワンスの2段構え | コピペから応用へ!

WordPress乗っ取り対策は画像認証とフェールワンスの2段構え

シェアする

  • このエントリーをはてなブックマークに追加
  • 0

このブログでも使っているレンタルサーバーmixhostですが、サイトデーターのバックアップ期間が14日間から30日間に延びました。

バックアップ期間が延びた理由の一つが、WordPressが14日より前に乗っ取られていた事。過去30日前まで復元できるので、乗っ取られる前の状態に戻すせる可能性が高くなるそうです。

実は、WordPressで作ったサイトが改ざんされたとネットの情報で聞いたことがあるのですが、あまり実感がわかないのも事実です。mixhostでも被害に遭われたユーザーが増えてるそうで、やっぱりあるんだなぁと思ったので、私が行っている対策を書いていきます。

私自身、不正ログインの形跡は何度もありますが、実際にログインされた経験はまだありません。

WordPressに不正にログインされない為の対策

WordPressが乗っ取られるという事は、第三者に不正にログインされたからだと思います。原因として、安易なユーザーIDとパスワードだったりしますが、相手は機械的に連続でログイン試すので、この時にIDとパスワードが一致するのでしょう。

なので、私は英数字に記号を入れるなど文字数が多く複雑なパスワードにしています。もちろんユーザIDに「admin」など安易にしてもだめです。

あと不正ログイン対策で、WordPressのセキュリティ系プラグイン「SiteGuard WP Plugin」を入れてます。

プラグインの導入方法は割愛します。

SiteGuardは、「画像認証やログインロック、ログインページの変更など」高機能なセキュリティ系プラグインです。多数ある機能の中で、画像認証とフェールワンスはかなり使えるかと思います。

私は、画像にある項目を有効にしている。

SiteGuardの画像認証

画像認証は、「ひらがな、英数字」を選ぶことができます。

画像の通りログイン画面に画像認証の入力フォームが現れます。

ひらがなが使えるという事は、不正ログインしてくるIPは海外がほとんどなので、日本語だと恐らく読めないので対策になるのではと思ってます。

SiteGuardのフェールワンス

フェールワンスは、「ログイン情報が正しくても必ず1回ログインが失敗する」制御をしてます。これだと、2回ログインする必要がありますが、仮にログイン情報が正しくても1度ログインが失敗になるので、相手は次に別の情報でログインしようとするので、リスクは減ります。

この、フェールワンスと画像認証を組み合わせることで、2回目のログインで画像認証で表示される画像が変わるのも安心できそうです。

SiteGuardと相性が悪いプラグイン

それは、ログインロックをするプラグインです。ログインロックとは、同じIPアドレスから何度もログインを失敗すると、そのIPを一定時間アクセス制限(ブロック)するというもの。

例えば「Limit Login Attempts」などのプラグインがあります。

何故かというと、SiteGuardのフェールワンスは必ず1度ログインを失敗するので、この「失敗もカウントしてしまう」ため相性が良くないのです。

経験上「Limit Login Attempts」で、同じIPで連続で不正にログインしてくる相手をロックできなかった事もあります。私が試すとログイン失敗でちゃんとロックがかかるので疑問です。

こういった経緯があるため、今はログインロック系プラグインは使ってません。

画像認証が表示されないときは

FTPソフトやファイルマネージャーなどでsiteguardのプラグインを無効にします。

『/wp-content/plugins/』のディレクトリ内に『siteguard』のディレクトリがあるので『siteguard-』など名前を変更にするとプラグインを無効化できます。

名前を変更したうえでWordPressにログインすると入れます。再びFTPなどで『siteguard』に名前を戻します。『siteguard』が有効にいなるのでこの状態で、WordPress管理画面からsiteguardの画像認証をOFF(無効)にします。

画像認証に変わる、おすすめの機能は『ログインページ変更』ですが、こちらも上手く動作しない場合は『フェールワンス』とログインロックなど併合してください。

Xdomainでは『siteguard』の「ログインページ変更」の機能と相性が悪いようです。画像認証などの機能は問題なく使えたので併合することをおすすめします。

まとめ

WordPressの乗っ取りを防ぐにはプラグイン「SiteGuard」がおすすめです。画像認証とフェールワンスの2段構えにしておくと、2回ログインする手間がありますが、不正ログインされるリスクを格段に減らします。

ただ、これら対策をしても100%防ぐことは難しいので、定期的にパスワードを変更することをお勧めします。

補足

ブラウザにパスワードを記憶させていいて、最初から入力されている状態だと正しい情報でもログインできない場合があります。そのときは、再度入力することでログインできます(入力フォーム空欄にしてブラウザのパスワード記憶から「呼び出し」てもOK)。

僕はmixhostのレンタルサーバー
ブログ運営してます。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする