ワードプレスのハッキングを防ぐために様々なセキュリティープラグインを導入されているサイト様は多いかと存じますが、一部プラグインはログイン画面のみに特化してセキュリティー対策を施しているものもあります。
こういったプラグインではワードプレスのハッキングをあまり防げるとは言えません。この理由を解説いたします。
ワードプレスのログイン画面にキャプチャをつけていても多くのハッキング(サイトの改ざん・ウィルス)は防げません
ハッカーがワードプレスを改ざんしてハッキングする手法は複数あります。
①管理者のパスワードを総当たりで解いて管理画面にログインして改ざん
②ワードプレスに含まれる様々な脆弱性をついて改ざん
③サーバーそのものの脆弱性をついてルート権限で侵入し改ざん
④データベースに侵入し管理者のパスワードを変更したり、新しいユーザーを作るなどしてサイトにログインし改ざん
⑤テーマやプラグイン等にすでに仕込まれているバックドアを利用してサイトを改ざん
ログイン画面のセキュリティーのみを高めるタイプのセキュリティープラグインは、①の総当たり攻撃 の部分しか防げないことがお分かりいただけるかと存じます。
そしてこのタイプの攻撃は現在、主流ではなくあまり使われないということにも留意が必要です。
ワードプレスドクターにてご依頼いただいている様々なマルウェア駆除の案件において、このログイン画面のセキュリティーだけを行って安心されていたというクライアント様は本当に多いです。
ログイン画面のセキュリティー対策をしたからと言って安心されるのは危険でございます。
そもそもログイン画面のセキュリティー対策(キャプチャ)に意味があるか?
ワードプレスには強力なパスワードを自動生成する機能があり、このパスワードを利用してる限り(ワードプレス本体に何らかの大きな脆弱性が見つかっていないのであれば)総当たり攻撃で突破されることはまずございません。
英数字記号が含まれており、十分な長さのパスワードは1000年かかっても総当たりで突破できないほど安全です。
ゆえに、弱いパスワード(数文字の単語)をパスワードとして利用されている場合は、キャプチャやログインロックダウン(数度ログインに失敗すると以後ログインできなくする)は意味はございますが、パスワードが十分強力な場合はログイン画面のセキュリティー対策はあまり意味をなさないことになります。
また、ログイン画面からログイン施行を繰り返すだけではなく、ワードプレスのメール投稿機能等を利用してパスワードを明らかにする総当たり攻撃を行うことも可能なことから弱いパスワードだとログイン画面のセキュアライズだけではまだ不足であるということになります。
ワードプレスのセキュリティーは様々な攻撃を包括的に防がないと意味がないといえます
ハッカーがサイトのハッキングを行うのを防ぐために再度リストを見てその対処方法を見てまいります。
①管理者のパスワードを総当たりで解いて管理画面にログインして改ざん
→強力なパスワードを使用
②ワードプレスに含まれる様々な脆弱性をついて改ざん
→ワードプレス本体やプラグインを最新に保つ、不使用のプラグインは削除、または脆弱性検査によりプラグインを変更する、またハッカーが脆弱性があるサイトかを調べることを防ぐ
③サーバーそのものの脆弱性をついてルート権限で侵入し改ざん
→ワードプレス上の対策では防ぐことはできません
④データベースに侵入し管理者のパスワードを変更したり、新しいユーザーを作るなどしてサイトにログインし改ざん
→PHPMYADMINをサーバー上に設置しないことをお勧めします、プラグインやテーマの脆弱性によりwp-config.phpをダウンロードされるのを防ぎます
⑤テーマやプラグイン等にすでに仕込まれているバックドアを利用してサイトを改ざん
→テーマやプラグインの更新、バックドアがあるかどうかを常に検査するなど
といった形になるかと存じます。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスが改ざん・マルウェア感染した場合はワードプレスドクターがマルウェアの除染・セキュリティー対策を代行いたします。お気軽にご依頼・ご相談ください
