WordPress を乗っ取られないようにするためのポイント

ホームページ作成にWordpressを利用されているケースは多いようですが、ハッカーの標的になっていることもご存知ですか。インターネットに開放されているサーバーへのアクセス解析をすると、Wordpressサイトを標的とするアクセスがとても多いことに気が付きます。そのアクセスは管理パネルへのログインを試みるものが殆どです。侵入者はよくあるアカウント名adminでパスワードを機械的に生成し何度もログインを試みる、ブルートフォースアタックが常套手段を使っているのでしょう。一度ハッカーの侵入を許してしまえば、ホームページの内容の改竄はもちろん、管理者のアカウントを乗っ取られる危険性もあります。そうならないように未然の防止策を考えます。

不正ログイン対策

管理者アカウントをadmin やroot といったありふれた名前以外のものに変更することが有効です。それでもアカウントが推測または漏れてしまうと不正アクセスの危険性が生じます。ログイン画面が第三者に知られないようにする対応を行います。

それはログインURLを別のものに変更することです。専用のプラグインを利用するのが簡単でしょう。https://ja.wordpress.org/plugins/search/login/

WordPress の日本語サイトでプラグイン検索をすると、ログイン画面をカスタマイズするプラグインがいくつか見つかります。その中から一つ選んで試してみてください。

著名ブロガーがログイン画面のURLを変更したのにも関わらずブルートフォースアタックが有ったという報告を見つけました。URLを変更してもハッカの不正アクセスから逃げることが出来ないのでしょうか。

ログイン画面へのアクセスを指定のIPアドレスからのみ許可し、それ以外のIPアドレスからはアクセスを遮断することが出来ます。Wordpressの管理を行うPCが設置しているインターネット回線が光回線などの固定タイプになっていることが必要です。光回線の契約で固定IPを選べるかどうかも調べてください。https://www.nuro.jp/article/koteigata-ip/ (固定IPアドレスを使う方法)

固定IPの回線契約になっているとしましょう。次に自分のIPアドレス(グローバルIP)を調べ、それをWorpressを設置したサーバーに設定します。無事設定ができていれば、設定したIPアドレスの回線以外(例えばスマートフォンのテザリング)でログイン画面にアクセスしようとしても、サーバーでアクセスを拒否されます。管理者が複数のインターネット回線からログインする場合は、必要なIPをいくつでも登録することが出来ます。許可したインターネット回線以外からのアクセスを完全に遮断することが出来るようになります。

接続元IPを偽装するテクニックもあると聞きますが、許可したIPを推測するのが困難であることから、この対策はとても有効だと思われます。セキュリティー対策にはこれ行えば十分というような特効薬はありません。考えられる対策をいくつも組み合わせることでセキュリティーを強固にすることができると考えます。今回はWorpressのセキュリティー対策について紹介しました。この中の複数、できればすべてを実施することをおすすめします。