ワードプレスサイトを構築していてセキュリティープラグインを導入しているサイト様も多いかと存じます。このセキュリティープラグインの導入よってどれぐらいサイトがハッキングされる可能性が減るかを考えていきます。

ログイン画面のURL変更、ログインロックダウン、ログイン画面のキャプチャは意味がある?

多くのセキュリティープラグインには、ログイン画面のURL変更機能や何度かログイン施行をするとしばらくログインできなくなるログインロックダウン機能がついています。

この機能は、管理画面に総当たりでパスワードを機械的に入力して管理者権限を奪取するハッキングに対して極めて有効ではありますが、ワードプレスには、ログイン画面を経ずにログイン施行を行って、パスワードさえわかってしまえばログインしている状況を作り出すことも可能です。

高度な技術のあるハッカーであれば、ログイン画面のURL変更は突破される可能性はございます。ただしハードルは大幅に上がるかと存じます。

その後wp-adminにアクセスされてしまうと管理者としてサイトのあらゆる変更や改ざんが可能となります。ゆえにセキュリティーでログイン画面のURL変更、ログインロックダウン を行うよりもログイン画面を守る最も有効な方法が、パスワードを半角英数記号を含むも忌み名14文字以上の文字列にすることになります。

セキュリティープラグインの導入でハッカーは脆弱性を突破する事ができなくなる?

ワードプレスのハッキング・改ざんの方法で最も多いのがプラグインの脆弱性をついて、サイトを改ざんすることです。
脆弱性の攻撃はログイン画面のセキュリティー強化では防ぐことができません。

ただし下記のような機能のついているプラグインでは脆弱性がサイトにあってもそれを利用して不正なプログラムを埋め込むことが困難になるでしょう。

1 フォルダ内のファイルの一覧表示の抑制 
この機能により脆弱性があるか調べるのが困難になります

2 プラグイン等のバージョン情報の出力の抑制機能
プラグインの多くは、その機能を呼び込む際にプラグインの現バージョンをHTMLの中に出力します。この文字列により脆弱性が露見してしまうのを防ぐことができます。

3 XMLRPC の停止
XMLRPC はワードプレスを遠隔で、ログインや投稿までできるような一連の機能を提供しています。この機能を抑制することでログイン画面を経ずにログイン施行を繰り返す総当たり攻撃を防ぐことが可能ですが、XMLRPCはプラグインやテーマでもその機能が利用されていることがある為、完全に止めてしまうとサイトの動作に支障が出る場合がございます。

※プラグインやテーマの動作を阻害せずにXMLRPCの仕様をある程度抑止する機能を有するプラグインもございます。

それでもハッキングされサイトが改ざんされてしまうことはある

こういった機能を有するプラグインのセキュリティー機能を有効にしていても脆弱性をつかれて改ざんされてしまう事はございます。

セキュリティープラグインはあくまでもハッキングを行いにくくしたり脆弱性を発見しにくくするもので、新たに見つかった脆弱性そのものを止めれるわけではないからです。

つまり脆弱性攻撃に対して有効なのは、可能な限りワードプレスやプラグインやテーマを最新の状態に保つことになります。

ハッカーの多くは既知の脆弱性を利用しますので脆弱性の見つかったプラグインのみ更新をするという形でも、大幅なセキュリティー向上が見込めます。

【マルウェア検査・駆除・脆弱性検査ができるプラグイン】
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスサイトのマルウェア駆除、セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください