WordPress(ワードプレス) のログインセキュリティ対策-キャプチャとログイン試行回数を制限

投稿:2015年5月11日

更新:2016年6月17日

wordpressは、ハッカーによく狙われます。知らない間にスパムメールの踏み台になっていたり、クロスサイトスクリプティング（他人のログイン情報を盗む方法）の踏み台にされていたりします。
上記のハッキングの手法は、単純にワードプレスの管理者権限のあるユーザーを増やしてその管理者権限にてサイトのスクリプトを書き換えて行われる事が有ります。
この為にハッカーはワードプレスの最初の管理者のパスワードを解く為に総当たりでログインパスワードを入力してくるのです。

ハッキングを見分ける方法

ハッキングされたかどうかは以下のように発見する事ができます。
・大量のアクセスがサーバーログに突然記録される
・トップページ等に、記憶にないリンクコードが大量に挿入されている
・コメントにurlが大量に書き込まれる
・wordpressのコンテンツフォルダやプラグインフォルダに大量にファイルが増えている
・wordpressのユーザーが勝手に増える
etc

ここでは、管理画面を乗っ取られるハッキングをされる可能性がある、ログインをよりセキュアにする方法をご紹介します。

ユーザー名、パスワードについて

ユーザー名は admin 以外の物にしましょう。過去のワードプレスではadminというユーザー名がデフォルトになっていた為、ハッカーはプログラムを動かしてパスワードだけを発見すれば良かった為、多数のwordpressサイトが被害を受けました

パスワードは英文字の大文字小文字数字を一つ以上含む、１２文字以上のパスワードにします。
ワードプレスで最初にパスワードを設定する画面でパスワードの強度が表示されますが、最も強いところまでインジケーターがあがるパスワードを設定します。

ログイン画面にキャプチャをつける

プラグインを使用してログイン画面にキャプチャをつけるとハッカーは、総当たり攻撃をしにくくなります

Captcha on login

何度もログインに失敗したユーザーを閉め出す

こちらのプラグインを使うと、何度もログイン試行をしたユーザーを一定期間アクセス不能にする事ができます。

*何度試行したユーザーをどれほどの時間閉め出すか設定できます。

弊社のワードプレス脆弱性診断サイトで、脆弱性をチェックしてみましょう

ワードプレスのセキュリてティー対策は全てWPドクターにお任せください

著者 WPドクターUI、デザインチーム(リーダー鈴木)

ワードプレスサイトの構築経験は３０サイト以上。フロントエンドエンジニア。その後ワードプレスサイトの保守・カスタマイズのあやふやで不透明な料金体系や工期の問題を是正したいとの思いから、ワードプレスの保守関連タスクを統括して公正な価格と作業期間で請け負うサービス(当WPドクターサービス)の立案にかかわり立ち上げから参加。

著者の記事一覧(カテゴリーログイン)
Wordpress.org公式アカウント