ワードプレスで不正なログインを防ぐ方法
2014/08/28
ワードプレスは世界標準のブログシステムと言える状況にあると思います。日本でもCMSと言えばまずワードプレスを使う方が多いでしょう。
ワールドプレスを使ったブログは日本にも多いかと思います。数多くのプラグインがいろいろなユーザーから提供されていますし、しっかりとした更新も行われてるブログツールと言えます。
そんなワードプレスですが利用者が多くなると、それを狙った不正者が多くなるのも当然です。世界的に普及しているOSはウィンドウズですが、利用者が多いのでそれを狙ったウィルスも数多く存在しています。
ワードプレスもそれと同じで、ブログとしては人気の高いものなので、その穴を狙って不正なログインを仕掛けてくる輩も多いのです。
そこそこのアクセスがあるワールドプレスを使ったサイトであれば、かなりの確立で不正なログインを試みられている可能性はあります。
私の管理しているサイトでも、海外からの不正なアクセスをしようとする輩は多く見られます。そんなワードプレスで不正なログインを防止する方法を考えてみます。
ユーザーid adminは使わない
以前のバージョンのワードプレスではデフォルトでadminを使う事になっていました。今は新規にインストールする場合、任意のユーザーidでインストールすることになると思います。
もしadminのまま使っている方がいるならば、すぐに別のidに変更しましょう。不正なログインをしようとする者はとりあえず、adminでログインを仕掛けようとします。
そして数の総当りで不正なログインをしようとするのです。順番にパスワードを機会的に入れていくという作業で不正なログインをしてきます。
adimnを使っていると非常に危険な状態にあります。
ブログ上にユーザーidを表示させない
投稿者の名前などはニックネームで表示させるという事は当たり前ですね。デフォルトの状態ではユーザーidが表示される状態にあるかもしれません。
ユーザーidが投稿者として表示されているならば、ニックネームに変えておきましょう。不正なログイン者にidを知られないようにすることが必要です。
ブログのソースにidが表示されていないかチェックする
ブラウザで自分のブログをチェックした時にソースを表示させてみましょう。表面上はidが表示されていないようでも、ソースの中にユーザーidが表示されている可能性があります。
<?php wp_footer(); ?>は使わない方がいいかもしれない
デフォルトのテーマなどでは<?php wp_footer(); ?>が使われていると思います。また他のテーマなどでもこれは使われていると思います。
<?php wp_footer(); ?>は使わないとプラグインによっては上手く動かない場合もあるので、記述は推奨されてるという情報も多いかと思います。
しかし<?php wp_footer(); ?>を使うとブログのソースの中にユーザーidが表示されている状態になってしまいます。
おそらくですが、不正ログイン者はこれをみて不正なログインをしようとしている可能性もあります。
パスワードはかなり複雑なものにしておく
当然パスワードはかなり複雑なものにしておいた方がよいでしょう。パスワードを保存するソフトなどもあるので、それらを使ってランダムで複雑なパスワードを設定しておいた方がよいです。
ワードプレスを運営していると、なんらかの形で不正なログインを仕掛けてくる者がいるのが当たり前だと思った方がいいです。
Crazy Boneプラグインでログイン履歴をチェック
Crazy Boneプラグインを使うとログイン履歴をチェックする事ができるので、便利なプラグインです。どんな人がどんなユーザーidでログインをしようとしたのか、ログインは失敗したのか、成功したのかなどの履歴がよくわかります。
adminでの不正なアタックはほぼ必ずあるとは言えるかもしれません。ご自分のブログに不正なログインが仕掛けられているかチェックしてみましょう。
Login Security Solutionで不正なログインを防止する
Login Security Solutionは不正なログインの防止に役立つプラグインです。このプラグインをインストールしておくと、ログインに失敗した場合などには、再ログインをするのに時間がかかるようになったりする機能などが使えるようになります。
不正なログインを仕掛けられると、機械的に頻繁にログインを仕掛けようとしてきます。ほぼ1秒単位とも言える間隔です。
それが数秒、十秒単位などに間隔を開けられると随分違ってきます。Login Security Solutionにはいろいろな機能がついていますが、このプラグインは不正ログイン防止に大いに役立ちます。