Follow Us:

wordpress ワードプレスのログインのセキュリティ強化を行う

  •  更新日:

ワードプレスのログイン権限の奪取によりサイトの改ざん被害を受ける前に対策をしましょう。

ログインの脆弱性から管理権限をハッカーに奪取されたら?

ワードプレスのユーザーが勝手に増えるというのが最も目立つ変化です、ハッカーがあなたのサイトの管理者権限を乗っ取っているという事になります。ハッカーはユーザーを生成することにより、ワードプレスの管理画面内部からサイトの改ざんを行いマルウェアの配布や、スパムメールの送信、危険なウェブサイトへの誘導などのコードを仕込んできます。
こうなると大変危険な状態で、迷惑メールの踏み台となったり、クロスサイトスクリプティングの踏み台となり、検索エンジンにも検出されて、ブラックリスト化されてしまう可能性があります。

参考 WordPressで「このサイトは第三者によってハッキングされている可能性があります」と表示されたときの対処方法

ハッカーはどうやって管理者権限を乗っ取るのか?

管理者権限を乗っ取る方法はいくつかございますが、最も多いのが、ログイン画面に対する総当たり攻撃(辞書を使い、IDとパスワードの組み合わせを時には何百万も試してログインししてしまう手法)による管理者権限の奪取です。これらを事前に防ぐことが重要です。

work-731198_640

また、ワードプレスの脆弱性を利用してユーザーを生成することも可能ですので弊社サイトより脆弱性を検査して、見つかったらワードプレス本体やプラグインのアップデートを行われることをお勧めいたします。

参考 WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ

ワードプレスのログインセキュリティーについてお確かめいただきたいこと

1 パスワードは8文字以上で、アルファベットや数字を含むランダムな文字列ですか?
ワードプレスの最新バージョンでは、強力なパスワードを自動設定してくれますが、過去のバージョンではパスワードは自分で入力する形式でした。このため、単純な単語のパスワードなどに設定されている場合は危険性が高いです。
ワードプレスの管理画面>ユーザー一覧>ユーザーの編集画面より、より強力なパスワードにしましょう。

2 ワードプレスのバージョンは4以上ですか?
ワードプレスの3系列をお使いの場合は、ログイン画面にも脆弱性がありますが、本体にも多数の脆弱性が発見されておりログイン画面の強化だけでは管理機能を守ることができません。ワードプレスの本体を最新バージョンにアップデートされることをお勧めいたします。

3 ソフトウェアファイアウォールプラグインは導入されていますか?
ワードプレスへのログイン総当たり攻撃を防ぐには、ある程度のログイン施行でログイン画面そのものにアクセス不能にする(ログインロックダウン)ようなプラグインの導入をお勧めします。この機能を持っているプラグインには下記のようなものがあります。

4 ログインキャプチャを導入されていますか?
ログイン画面にキャプチャという人間にしか解けないクイズのようなものを表示してくれるプラグインを利用すると、機械的にログイン施行を繰り返してくるハッカーを防ぐのに有効な施策となります

5 ログインのURLを変更されていますか?
ログインのURLを変更されるのも、ログインセキュリティーを高めるのに有効な施策です。ワードプレスの標準のURLから変更することのできるプラグインがあります。

ワードプレスのその他のセキュリティー全般について基本的な対策は下記の記事を参照されてください
ワードプレスドクターが教えるWordPressセキュリティ対策7選

wordpress セキュリティの強化や、ハッキングからの復旧はワードプレスドクターにお任せください!


関連タグ:

Wordpress ワードプレス ドクターBlog タグ一覧

© 2015-16. «WP Doctorワードプレスドクター». All right reserved.