wordpressでブルートフォースアタックを防ぐ最善の方法は?
ワードプレスはプラグインの数も多いし欲しい機能をプラグインとして見つけ易いCMSではあります。
独自ドメインを使いブログを運営しようと考えている人にはまずワードプレスをすすめる人が多いのではないかと思います。
多くの人が使っているので情報やプラグインが多くブログ初心者にも敷居が低いCMSであるのは確かでしょう。しかし多くの人が使っていると、その分悪い事をしようとする輩も増えるのが事実です。
このブログでも何回か話題にしていますが、ブルートフォースアタックです。総当たり攻撃という事で他人のブログを乗っ取ろうとする行為になります。
このブルートフォースアタックですが、いくつか防御策が考えられますが、どれが一番いい方法か考えてみようと思います。
プラグインによりブルートフォースアタックを防ぐ
最も手軽にブルートフォースアタックを防ぐにはプラグインによるセキュリティ向上ではないかと思います。
これならワードプレス初心者やサーバーなどの知識についてあまりない方でも、手軽に試してみる事はできます。
ただし、ブルートフォースアタックを満足に防いでくれるというプラグインはあまり多くはないかと思います。
私もプラグインで対応しようかと考えた時には、あまり満足のできる結果を出す事ができませんでした。
ワードプレスはデフォルトでログイン画面がどこにあるのかが他者に簡単に分かってしまうために、ログインに時間制限を儲けるプラグインを使ったとしても、しつこいブルートフォースアタックの攻撃は受けてしまいます。
ログイン画面にアクセス出来ないような方法を取るのがベストではあるのですが、プラグインでそれを実現するには、あまりそういったプラグインがないかと思います。
ログイン画面を変更してくれるプラグインもあるが
自身のワードプレスに不正なログインを防ぐための確実な方法は、他人にワードプレスのログイン画面にアクセスをさせない事です。
これをプラグインで実現できないかな?と思って探してはみました。なかなか見つからなかったのですが、Login rebuilderというプラグインがありました。
このプラグインはログイン画面のアドレスを任意のアドレスに変更してくれるプラグインです。他人にログイン画面が分からなくなるのでブルートフォースアタックをしかけにくくなります。
効果としては他のどのプラグインよりも確実にブルートフォースアタックを防いではくれるかと思います。
問題点としてメモリ消費量が多いだろうと考えられます。同じサーバー内で複数のブログを運営し、このプラグインを使用しているとメモリ上限に達しやすくなるかもしれません。
.htaccessでアクセス制限を行う方法
もう1つ確実にブルートフォースアタックを防ぐ方法として、.htaccessを使う方法があります。
ブルートフォースアタックは海外からのアクセスが多いので.htaccessを使いログイン画面に対し海外からのアクセスを禁止する設定をします。
これは国内からのアクセスを許すという設定で海外からのアクセスを拒否するという事にはなります。
また自身が固定IPであれば自身のIPだけをログイン画面にアクセス許可すれば、ほぼ完璧に他者からの不正アクセスを拒否することは可能になるという事にはなります。
複数でブログを管理している場合や、自身が海外からアクセスしている場合などに設定が若干めんどくさくなるというのは欠点ではあるでしょう。
条件が複雑でなければ、意外と簡単にブルートフォースアタックを不正でくれるのでおすすめな方法ではあります。