Follow Us:

WordPress(ワードプレス) のログインセキュリティ対策-キャプチャとログイン試行回数を制限

  •  更新日:

wordpressは、ハッカーによく狙われます。知らない間にスパムメールの踏み台になっていたり、クロスサイトスクリプティング(他人のログイン情報を盗む方法)の踏み台にされていたりします。
上記のハッキングの手法は、単純にワードプレスの管理者権限のあるユーザーを増やしてその管理者権限にてサイトのスクリプトを書き換えて行われる事が有ります。
この為にハッカーはワードプレスの最初の管理者のパスワードを解く為に総当たりでログインパスワードを入力してくるのです。

security-1202344_960_720

ハッキングを見分ける方法

ハッキングされたかどうかは以下のように発見する事ができます。
・大量のアクセスがサーバーログに突然記録される
・トップページ等に、記憶にないリンクコードが大量に挿入されている
・コメントにurlが大量に書き込まれる
・wordpressのコンテンツフォルダやプラグインフォルダに大量にファイルが増えている
・wordpressのユーザーが勝手に増える
etc

ここでは、管理画面を乗っ取られるハッキングをされる可能性がある、ログインをよりセキュアにする方法をご紹介します。

ユーザー名、パスワードについて

ユーザー名は admin 以外の物にしましょう。過去のワードプレスではadminというユーザー名がデフォルトになっていた為、ハッカーはプログラムを動かしてパスワードだけを発見すれば良かった為、多数のwordpressサイトが被害を受けました

パスワードは英文字の大文字小文字数字を一つ以上含む、12文字以上のパスワードにします。
ワードプレスで最初にパスワードを設定する画面でパスワードの強度が表示されますが、最も強いところまでインジケーターがあがるパスワードを設定します。

ログイン画面にキャプチャをつける

プラグインを使用してログイン画面にキャプチャをつけるとハッカーは、総当たり攻撃をしにくくなります

Captcha on login

何度もログインに失敗したユーザーを閉め出す

こちらのプラグインを使うと、何度もログイン試行をしたユーザーを一定期間アクセス不能にする事ができます。

*何度試行したユーザーをどれほどの時間閉め出すか設定できます。
login-lockdown

Login lockdown

弊社のワードプレス脆弱性診断サイトで、脆弱性をチェックしてみましょう

ワードプレスのセキュリてティー対策は全てワードプレスドクターにお任せください


関連タグ:

Wordpress ワードプレス ドクターBlog タグ一覧

© 2015-16. «WP Doctorワードプレスドクター». All right reserved.