WordPress

WordPress初心者が不正アクセスを防ぐために入れるべき2つのプラグイン

不正アクセスの標的は公的サイトや企業サイト、有名ブログだけ。…なんて思っていませんか?

無名ブログ

ブログ開設して約1ヵ月

アクセス数は2ケタ

上記は2019年10月現在の私のブログの状況です。「こんな弱小ブログが不正アクセスの標的になるわけない!!」と前日まで本気で思っていたわけです。…が、不正アクセスを試みた痕跡が見つかりました。下の画像の赤枠の部分がその痕跡です。

 

不正アクセスの痕跡

 

幸いなことに被害はありませんでした。なぜなら「Edit Author Slug」と「SiteGuard WP Plugin」の2つのプラグインがしっかり守ってくれたからです。

不正アクセス対策をせずにブログを始めた方は、すでにユーザー名がバレている可能性があります。不正アクセスされると自分の管理権限を奪われるにとどまりません。「サイトが売りに出される」「改ざんされる」「マルウェアを仕込まれる」「犯罪の踏み台にされる」といったことが起こります。以下の記事を読みながら、今すぐ不正アクセス対策を行ってくださいね。

不正アクセスを防ぐプラグインは?

2つのプラグインを導入しましょう。ここで紹介するプラグインは無料で使える、評判の良いものです。私も実際に使っています。

  • Edit Author Slug
  • SiteGuard WP Plugin

 

Edit Author Slugとは

ユーザー名を隠すためのプラグインです。投稿者名ををニックネームに変更したり、投稿者スラッグをカスタムしたりすることで不正アクセスを予防します。無料で使えます。設定は簡単です。

 

SiteGuard WP Pluginとは

ブルートフォースアタック(総当たり攻撃)などによるパスワード解析から守るためのプラグインです。無料で使えます。画面が見やすく操作が簡単です。

画像認証

上の画像のように、ログインに画像認証を追加できます。「ひらがな」なら国外からの不正アクセスを大幅に減らせる可能性が高いです。

 

不正アクセスの手口は?

WordPressのログインに必要な情報は2つ、ユーザー名とパスワードです。不正アクセスする人はまずこの2つを割り出そうとします。残念なことにWordPressは何も対策をしていないとユーザー名はすぐにバレてしまいます。実際に見てみましょう。

 

ユーザー名はこれでバレる

ユーザー名対策を何もしていないと以下の方法ですぐバレます。

1.記事の投稿者名

何もしていないと投稿者名に「ユーザー名」が表示されます。これでユーザー名がバレます。ニックネームを作成し、ブログ上の表示をニックネームに変更することでユーザー名を隠します。

2.URL

あなたのサイトURL/?author=1』をURL欄に入力して検索してみてください。先ほど入力したURLは『あなたのサイトURL/author/ユーザー名』と表示が変わっていますよね。ここからもユーザー名がバレるというわけです。これを防いでくれるのがEdit Author Slug。

 

パスワードは必ず解析される

次にあなたのユーザー名が割り出されたと仮定しましょう。犯罪者はパソコンを使ってパスワード解析を試みます。このパスワード解析に良く使われる手口はブルートフォースアタック、総当たり攻撃とも呼ばれるものです。ひとつずつパスワードをためす原始的な手口ですが、いつかは確実に正解にたどり着けるため、よく使われているそうです。これを防ぐのに有効なのがSiteGuard WP Plugin。「入力を何回ミスしたら何分間ロック」といった設定ができますし、先ほど紹介した画像認証も追加できるため、セキュリティが堅牢になること間違いなし。

 

ログイン履歴から手口を見極めることも可能です。以下は冒頭でお見せした画像ですが、もう一度ご覧ください。

XML-RPCを使った不正アクセス

履歴からXML-RPC(遠隔操作)でアクセスしようとして失敗したことがわかります。KEIROMICHIというサイトでIPアドレスを調べてみました。

不正アクセス元

アクセス元は東京都庁付近からということがわかりました。しかし、ホスト名がmixhost(レンタルサーバー名)となっているので、mixhostでサーバーを借りて運営されているブログを踏み台に公共Wi-Fi経由でアクセスしたのかもしれません。遠隔操作の機能はヤバいことが分かったので、さっそくXML-RPCを無効化しました。

 

XML-RPCとは

スマホなどからWordPressに記事を投稿するための仕組みです。

 

Edit Author Slugの導入方法

  1. WordPressの管理ページを開く
  2. プラグインをクリック
  3. 「新規追加」ボタンを押す
  4. 「Edit Author Slug」で検索
  5. 「今すぐインストール」ボタンを押す
  6. 有効化する

ユーザー名を隠すための手順は2ステップあります。1つめはEdit Author Slugの設定、2つめは「あなたのプロフィール」の設定です。私の設定を例に説明します。

 

1.Edit Author Slugの設定

Edit Author Slugの設定

赤丸で囲った3ヵ所を変更しました。投稿者スラッグ構造はデフォルトだと「ユーザー名」になっています。ここを「ニックネーム」に変更しましょう。これでURLに表示されるユーザー名がニッネームに変わります。投稿者ベースもデフォルトの「Author」から変更しておくと、不正アクセスしようとする人の目を欺くことができます。設定変更後は忘れずに「変更を保存」ボタンを押しましょう。また、自動更新にチェックを入れることで、Author Slugの更新忘れを防ぎます。
※Author Slug:(訳)投稿者スラッグ(意味)URLに表示される投稿者名

 

2.プロフィールの設定

WordPressの管理ページのメニューから「ユーザー」→「あなたのプロフィール」の順に選択するとプロフィール画面が表示されます。まずはニックネームを入力し、ブログの表示名をニックネームに変えましょう。

ニックネーム作成

つづいて、Edit Author Slugプラグイン有効化後にプロフィール画面に追加される項目を見ていきます。画面を下までスクロールすると見つかります。「投稿者スラッグ」でカスタム設定欄にお好きな名前を入力します。設定変更後は忘れずに「プロフィールを更新」ボタンを押しましょう。

投稿者名の表示変更

 

SiteGuard WP Pluginの導入方法

  1. WordPressの管理ページを開く
  2. プラグインをクリック
  3. 「新規追加」ボタンを押す
  4. 「SiteGuard WP Plugin」で検索
  5. 「今すぐインストール」ボタンを押す
  6. 有効化する

 

有効化するとログインページアドレスが変わります。忘れずに新しいログインページをブックマークに追加しておきましょう。

公式サイトにもインストール方法の説明があります。わからない場合はこちらをご参照ください。
>>インストール|SiteGuard WP Plugin

 

ご確認ください

全ての機能を使うにはサーバーに「mod_rewrite」や「WAF」が導入されている必要があります。なお、エックスサーバーは両方とも導入されていますので、エックスサーバーユーザーはご安心を。
※WAF:ウェブ アプリケーション ファイアウォール

▼エックスサーバーについて知りたい方はコチラから
Xserver

 

SiteGuard WP Pluginの設定

公式サイトに「設定」の説明ページがあります。わかりやすいので、ぜひご一読ください。
>>使用方法|SiteGuard WP Plugin

 

参考|私の設定

基本的にデフォルトでも運用できるようになっています。太字は設定変更した項目です。

  • 管理ページアクセス制限:ON
  • ログインページ変更:ON(デフォルト)
  • 画像認証:ON(デフォルト)
  • ログイン詳細エラーメッセージの無効化:ON(デフォルト)
  • ログインロック:ON(デフォルト)
  • ログインアラート:ON(デフォルト)
  • フェールワンス:OFF(デフォルト)
  • XMLPRC防御:ON(XMLRPC無効化に変更)
  • 更新通知:ON(デフォルト)
  • WAFチューニングサポート:OFF(デフォルト)

※WAFはWordPressではなくサーバー側の機能です。エックスサーバーをご利用の方はサーバーパネルからWAFの設定ページにアクセスしてください。なお、エックスサーバーはWAFがデフォルトで「OFF」になっています。私はすべて「ON」にして運用中です。

 

ブログは大切な無形資産。WordPressにログインするたびにログイン履歴を確認するクセをつけておきましょう。日々確認しておくことでいち早く異変に気付くことができます。それでは、素晴らしいWordPressライフを♪

 

 

-WordPress
-, , , ,