ワードプレスのログイン画面のセキュリティーを高める方法を重要度が高い順に解説いたします。

パスワードを複雑なものにする

ワードプレスのログイン画面で不正ログインを防ぐのに最も重要なのは、管理者権限のパスワードを複雑なものにすることです。
ハッカーは、よく使われるパスワードの辞書を使い、プログラムで次から次にログイン施行を繰り返して管理者権限でのログインを試みます。ユーザーIDとパスワードを同じもしくは似ている物にするのも危険です。プログラムでワードプレスのユーザーIDを取得してそのパスワードそのものや、01などの数字を足して次から次に試してみることも可能だからです。

複雑なパスワードとは下記のような条件を満たすものとなります。

・意味のない文字列
・半角英数、大文字小文字、記号を少なくとも一つ含む
・12文字以上

↓このようなパスワードは理論上総当たり攻撃で破るのに8万年以上かかります

※パスワード強度検査ツールより

ログイン画面にキャプチャーをつける


ログイン画面にキャプチャをつけると、プログラムで自動的にパスワードを破られる確率をさらに飛躍的に低くすることが可能です。
ログイン画面にキャプチャーがある場合、プログラムでそのキャプチャーを解きつつも総当たりでログイン施行を行わないといけなくなり、現状そのような高度なプログラムを使用するハッカーはほとんどいません。

ログイン画面のURLを変える

ログイン画面のURLをセキュリティープラグインなどで変更することもログイン画面のセキュリティーを高めます。
ログインURLを変更されたサイトではハッカーはログイン破りのプログラムを動かす前に、画面のURLをまず調査する必要があり、ほとんどの場合URLを変えるとそのログインURLはハッカーには露見しません。

XMLRPC.phpの対策

ワードプレスには、XMLRPCという仕組みで、投稿をワードプレスの管理画面を使わずに追加することができます。

しかし、このXMLRPCにログインIDとパスワードを送信するのですが、投稿が成功しない場合=パスワードが違う という事になり、この仕組みを悪用して総当たり攻撃を投稿が成功する=管理者のパスワードが判明するまで行うことが可能です。

この為、XMLRPC機能を止めるか、セキュリティープラグインなどでXMLRPCへの過剰アクセスを検出し、ブロックするなどの対策が必要となります。

いずれにせよログイン画面のセキュリティーを高める基本はパスワードの複雑性です。総当たり攻撃を受けても決して破られないパスワードに変更いただくことが重要となります。

WordPress ワードプレスのマルウェア駆除や安全なアップデートのご相談ご依頼は、WPドクターまでお気軽にお送りください