コラム
2017.11.13
セキュリティ強化!wordpressのログイン画面で対処する方法
【ソフトを入れるだけでは危険!wordpress自体にセキュリティ対策を】
wordpressをすでに使われている人は、セキュリティ対策をしていますか?PCにセキュリティソフトを入れるのではなく、wordpress自体にセキュリティを施す必要があります。
wordpressは世界で最も使われているCMS(コラムへリンク)の為、その分、クラッカーなど悪意のある人物に攻撃を受けるリスクがとても高いのです。セキュリティの隙間(脆弱性)をついて悪意ある攻撃を受けるとデータの消失や改ざんなどの恐れがあるので、セキュリティの対策強化はwordoressにとって絶対に必要です。
それではセキュリティ強化とはどのようなことをすればよいのでしょうか。 専門的な話になってしまいますので、「こんなことをやるんだ」くらいの認識で読んでもらえればと思います。
【「admin」を残しておくと危険!?オリジナルパスワードの設定が必要】
代表的なものは、「ブルートフォースアタック(総当たり攻撃)」というログイン画面からの攻撃に対する対応です。
ブルートフォースアタックとは、ログイン画面に表示されているユーザー名とパスワードのパターンを自動化されているプグラムで片っ端から試して、ログインをするハッキングです。 最近はこのログイン画面からの攻撃によって、wordpressに不正ログインされて乗っ取られる事例が増えていて、これに対する対策は必須となっています。
対応策として、まずはwordpressをインストールするとユーザー名がデフォルトで「admin」となっています。この「admin」ユーザー名を残しておくと非常に危険です。ユーザー名が「admin」となっていると後はパスワードを片っ端から試すだけで、ログイン画面を突破されてしまいます。 その為、ユーザー名は必ずオリジナルの物で設定し、パスワードはパスワード生成ツール等を使用して、強力なパスワードを作成しましょう。
【ハードルの高いセキュリティ強化は、専門家に任せるのも一つの手】
またプラグインを使ってログインページにアクセス制限を行い強化する方法も簡単でおススメです。
①二段階認証 SiteGuard WP Plugin (ひらがなや英数字による画像認証)
②二段階認証+ワンタイムパスワード Google Authenticator (スマホアプリと連携した認証)
①は簡単でお勧めですが、②はワンステップは多くなりますがとても強力です。 その他に、wordpressのログイン画面をSSL通信に設定するなどの方法もあります。 セキュリティ強化はハードルが高いと思われている方は、専門家に任せても良いと思います。
wordpressのセキュリティもウェブパルコの得意とするところです。ぜひ仙台のウェブパルコにお任せください。