ブログ運営

不正ログインを防げ!WordPress管理画面のセキュリティ対策まとめ

こんにちは!ぜろねっこ(@ray0_nya3)です!

皆さん、スマホやPCのセキュリティは万全に対策をとっていらっしゃいますか?

私は、万全とは言えないかもしれませんが、常に気を付けてはいます。

セキュリティといえば、ブログを運営する上でも大切な管理のひとつです。

実はつい2週間ほど前、ブログの管理画面へと不正ログインをしようとする怪しい履歴が沢山残っており焦りました。

わたしはWordPressを使う時、「JET PACK」のプラグイン使用します。今回は、JET PACKに付随する機能で、不正ログイン攻撃が行われていることに気づきました。

※「JET PACKって何?」という方は下のサイトをご覧ください!

 

統計やセキュリティなど、便利機能がまとまっているので重宝しています。

とっても万能そうな「JET PACK」の中の便利機能のひとつ「ブロックした悪意あるログイン試行」。

ちょこちょこ数字が増えていく所は常にチェックしていたのですが、何故かここ数日で一気に跳ね上がり、一日でおよそ「800回以上」も不正ログインをされそうになっていた様子。

さすがに肝を冷やしたので、ネットで調べて対策を立てることにしました。こわ。(;´Д`)

とはいえ、「有名インフルエンサーでもプロのプログラマーやWEBマーケッター屋さんでもないド素人の私ができるのだろうか?」とすっごく不安になったので、ひとつひとつ調べながらやってみました。

結果的に対処できたので、レポートや参考にしたサイトなどを載せていきつつご報告いたします。※なお、参考にしたサイトのリンクも同様に載せます!(ド素人の私の知識のみでは怪しすぎますので。)

この記事は、初心者兼ド素人による、セキュリティ対策を実際にやってみたレポートに近い記事になります。全てのセキュリティが守れる保障は出来かねますのでご注意下さい。あくまで参考程度にご覧くださいませ。尚、操作等は、自己責任でお願いいたします。

「エックスサーバー 」や「WPXクラウド」だと、海外からのアクセスを遮断できる

私は、エックスサーバーの会社が提供するwpXクラウドを使っています。

wpXクラウドは、WordPressに最適化した圧倒的な高速環境を、より手軽かつ柔軟にご利用可能としたサービスです。 初期費用無料、月額500円~(税抜)で始めることができ、ご利用の状況に合わせて全7段階の拡張が行えるため、フレキシブルなWordPress運用が可能です。

引用元:https://www.wpx.ne.jp/cloud/service/

wpXクラウドにはもともと、国外アクセス遮断機能やダッシュボードへの不正ログイン防止機能がついていたのです!(調べていたら発見。)

実はこの機能を使っただけで、「悪意のあるログイン試行」の数字がストップしました。正直、驚きです。

(ただし、セキュリティはいくつも対策を施すに越したことは無いので、今回は併せて色々見直してみました。)

簡単に、設定の仕方を書いてみます。(wpXクラウド会員のみ!)

  1. 会員ページからログイン(WPXクラウド会員のみ)
  2. 画面左「サーバー管理」タブを選択
  3. 画面左メニューから「WordPress管理」をクリック
  4. 画面中央あたりの、「セキュリティ設定」
  5. 「ダッシュボードアクセス制限設定」をONにする。

他にも、SSL設定や、海外からのコメント&トラックバックを拒否、などの設定も可能です。

 

尚、系列会社のエックスサーバーにも同様の機能は付随されています。

エックスサーバーでのやり方は以下の記事が参考になります。

 

wpXクラウドエックスサーバーの違い・比較などの詳細は以下の記事が参考になります!

 

WPXクラウドやエックスサーバーじゃない人は?

既に他サーバーさんを使っている方で、国外アクセスを防ぐ機能が無い場合はどうすればいいのか。

調べていったところ、海外アクセスを拒否できるプラグインが存在することがわかりました。(複数見つけたので、後述します。)

WPXクラウドの機能に気づくまでは、私はプラグインで対処してました。。

以前も攻撃にあったことがあるのですが、それでいくらか対処は出来ていました。

ただ今回は、回数が尋常でなかったので、再度見直し設定を行うことになったわけです。

使用プラグイン

亀山ルカさんの記事を参考に入れました!

  • Jet Pack
  • SiteGuard
  • WP BAN

 

 

 

①JET PACKで「悪意のあるログイン試行」の数字をチェック

メニュー一覧(画面左側の黒い帯部分→Jetpack→ダッシュボード(JetPackのダッシュボードです!WP自体のダッシュボードではありませんよ!!)→悪意のあるログイン試行、を開きます。

ブロックした悪意のあるログイン試行」で数字がどんどん跳ね上がる現象は、主に「ブルートフォース攻撃」と呼ばれるものだそうです。

人間によるものではなく、機械によるランダム試行だそうで。不正ログインをすることで、ブログのデータに変なプログラムを書き込まれたりする危険性があるんです。

簡単なモノだと突破される危険性があり。
まずユーザーIDとパスも変更することにしました。(後述します)

上記サイトによると、パスワードは「8桁以上推奨」長くて複雑すぎる程、突破される可能性が低くなる、ということです。

 

②SiteGuardで不正ログイン履歴が無いかチェック

SiteGuardで怪しいログイン履歴が無いか確認してみます。

SiteGuardのプラグインの詳細は以下のサイトがわかりやすいです。

 

ありました。怪しい履歴。

どうやら犯人はログイン時、ユーザーIDを

  • admin(初期設定のID)
  • nyanya280(このサイトのアドレス一部)

2つで5回ほど試してきています。(ほかに1/8に一度残っていました。)

ちなみに夜中の2時~3時にやってきた様子。
私はこの時間帯ぐっすりと寝ているので、ログインすることは、めったにありません。

この辺はおそらく手動でしょうか。

見覚えの無いIPを堂々と残してくれていたので、さっそく拒否することにしました。

③WP BANで怪しいIP&国外ホストをとりあえず拒否設定

WPXクラウドの機能に気付く前までは、上記の亀山ルカさんの記事を参考に、私も国ごと拒否していました。(今はWPXクラウドと、WP-BANを並行して使っています。)

ブロックする時に使うプラグインは「WP-Ban」です。

※WP-Banのインストール方法や使い方は以下の記事を参考にしてください。

 

国別に拒否するやり方は■Banned Host Namesの欄のところに国のホスト名を入れていきます。これだけで海外アクセスを遮断できるというので便利です。

 

WP-Ban以外にも、国別でブロックをかけられるプラグインをいくつか見つけたので載せておきます。相性や使い勝手もありますので、ご自身に合うものを見つけてみて下さいね!

④管理画面のIDやパスワードを複雑なものに変更

これも結構大切です。

機械を使ってランダムに、入口を開けようとして管理画面にログインしようとする・・・無理やりこじあけ攻撃・・・プルートフォース攻撃がとても厄介だからです。

15桁以上、数字と意味のないアルファベットの羅列をランダムで入れることで、だいぶ防げるそうです。

わたしは以下の記事を読んで、ユーザーIDとパスワードを変更し直しました。

 

鍵は厳重に、2重にも3重にもしていたほうが、突破されにくい。

現実世界にも言えることですよね。

まとめ

いかがでしたでしょうか?

サイトを乗っ取られたり、パクられたりするのはとっても悲しいですよね。

でも現実にそんなことする人がいるんです・・・。(涙)

あなたの、大切な大切なブログやサイトが、奪われないように。

今回の記事が少しでもお役に立てましたら幸いです。