Word Pressのログイン画面のセキュリティを向上するプラグイン「Site Guard」をご紹介

1826370_sWord Pressのログイン画面のセキュリティを怠っていると、悪意のあるユーザーから不正アクセスされ、サイトを乗っ取られる可能性があります。WordPressを運用するにあたってログイン画面のセキュリティ対策は必須といえるでしょう。

特にブルートフォースアタック(総当たり攻撃)とよばれる、IDやパスワードをあらゆる組み合わせでログインを試して不正アクセスを試みる攻撃には、事前の対策が必要です。

今回は、ログイン画面のセキュリティを向上させ、ブルートフォースアタックからログイン画面を守るプラグイン「Site Guard」をご紹介します。

Site Guardとは

Site Guardは、セキュリティ系のプラグインの中でも、ログイン画面のセキュリティに特化したプラグインです。そのため、「ログイン画面へのブルートフォースアタックを回避したい」や「管理画面への不正アクセスのリスクを最小限に抑えたい」という場合は、Site Guardによるリスク対策が非常に有効です。

Site Guardは、だれでも無料で使用することができます。無料で個人情報の漏えいやサイトの改ざんによる問題発生の可能性を抑えられるため、ログイン画面のセキュリティ対策をしていない方は、導入を検討してもよいでしょう。

Site Guardの主な機能の紹介

Site Guardをインストールすると、どのような機能がWeb上のリスクから守ってくれるのでしょうか。次に、Site Guardをプラグインするにあたって知っておきたい主な機能をご説明します。

ログイン画面のURLの変更

ログイン画面を初期設定のURL(/wp-adminや/wp-login.phpなど)にしておくと、悪意のあるユーザーにログイン画面がばれやすく、ブルートフォースアタックによる攻撃を受けてしまいやすくなります。

ブルートフォースアタックは、解読が非常に得意です。たとえば、4ケタのバスワードを設定した場合、たった約2分で簡単に解読できます。Site Guardでは、決まった形式になりがちなログインURLを変更することができるため、不正アクセスを防ぎやすくなります。

ログイン失敗の多いIPの制限

Site Guardは、短時間で何度もログインに失敗するユーザーをブロックすることができます。たとえば、ブルートフォースアタックで管理画面へのアクセスを試みる悪質なユーザーは、ログイン画面で何百回、何千回とログインしてきます。

このような悪質な動きをSite Guardは素早く察知し、不正アクセスを試みるIPアドレスを制限します。このIP制限の機能はブルートフォースアタックによる不正アクセスや情報漏えいのリスクを大きく下げる効果が期待できます。

ログインアラート

Word Pressでログイン情報を把握しておきたい方もいるでしょう。Site Guardには、ログインアラート機能が搭載されているため、ログインがあったときに、管理者にメールを送信できます。

たとえば、自分がログインしていないのに、ログインアラートが届いた場合は、だれかが不正アクセスを試みている可能性があります。不正なログインがあった場合は、素早くログインの動きを把握できるため、ログイン情報を管理したい方に有用な機能となっています。

画像認証機能

ログイン画面への攻撃は、自動プログラムによるものです。そのため、Site Guardでは文字列を記載した画像認証によって、自動プログラムからの総当たり攻撃などを防ぐことができます。

また、画像認証は、「英数字」と「ひらがな」の認証があります。特にひらがなの認証にすることで、海外からの攻撃を防ぎやすくするのに有効です。

ログイン履歴

ログインアラートと関連する機能となりますが、ログイン履歴を見れば、ログインを失敗したユーザーやブロックされたユーザーなども含めて全てのユーザーのログインの形跡を確認できます。ログインを試みたIPアドレスの確認や、ユーザーのブロックされた理由などが確認できるので、どのようなアクセスがあったかが明瞭になります。

Site Guard導入の注意点

Site Guardは、インストールして有効化すると、すぐにログインURLが変更され、新しいログイン画面に遷移します。そのため、新しいログインURLは、忘れないようにメモしておくようにしましょう。

一度ログインすれば、任意のログインURLに変更することができます。

まとめ

Site Guardによるログイン画面のセキュリティ対策は、サイトを守るためにかかせません。なぜなら、サイトをのっとられたり改ざんされたりすると、復旧に多くの時間やお金がかかる可能性があるからです。

特に、顧客の会員情報を扱うWebサイトは、常にセキュリティ性を最大限まで高める必要があります。もし、何も対策をしていなければ、多くの人から信頼を失い、損害賠償請求されるといった大きな事態に発展する可能性があります。

実際に、顧客情報の漏えいによって損害賠償を請求され、多額のお金を支払った会社は、存在しています。不正アクセスを放置したり、何か対策をしたりしないことは非常に危険なことなので、後から後悔しないためにも、先手をうって準備しましょう。

  • このページを共有する