ワードプレス構築記1|セキュリティを強化するためにやるべきことは?

無題

ワードプレスを始めてみて気になる評判を聞きました。

「ハッキング」・「ウィルス」・「マルウェア」という言葉。

ワードプレスは使っている人がたくさんいるためにハッカー・クラッカーに狙われやすいとのこと。

さらにワードプレスはログインのチャレンジが無制限(何回間違えても大丈夫)らしいので、「ブルートフォースアタック」(コンピューターで力づくで総当たりのパスワード入力)をして時間をかければ不正ログインがされてしまう可能性が高いということらしいです。

不正ログインをされてマルウェアやウィルスを撒き散らされたとかの声が少なからずありました。

それ以外にもログインできるということは乗っ取りも可能ですし、今まで積み上げてきた記事を全消しすることも可能なわけです。悲惨すぎます。

ということで、
プラグインでログイン回数を制限しておこうと思います。

同じIPから連続でログインを試みて一定回数間違えると長時間ロックされてログインできなくなるというプラグインです。

これでコンピューターで自動で大量にアタックしようとしても例えば
「3回連続で間違ったらそのIPからは6時間おかないとログインできなくなる」みたいなものです。
ログインできるまで大量にアタックするので数百万アタックとかしないと当たりを当てられないのに24時間で最大12回しかアタックできなかったらログインできるまでに何百年もかかってしまうということで侵入不可にするものです。

本当はデフォルトの状態でワードプレスにログイン失敗回数の制限を入れてほしいのですが、なぜやっていないのか疑問です。(※実際に試してみたらたしかに無制限。なぜなんでしょう?)

ログイン制限ができるセキュリティプラグインですが、いっぱいあるようでどれが一番いいのか全くわかりませんでした。

とりあえず、候補は
「Limit Login Attempts」
「Login LockDown」
「Limit Login Attempts Reloaded」
「Cerber Security & Antispam」
どうしよう。ある程度絞ってもまだいっぱいある。

と、
その前に『ニックネームを変えておく。』

なぜこれをするかというと、ワードプレスで記事を書くと執筆者の名前が自動で記載されます。それがデフォルトだとユーザー名が出てしまうようです。

ワードプレス侵入(正面突破)に必要なのはユーザー名とパスワード。
ワードプレスの執筆者の名前がユーザー名そのままなら、ユーザー名はすでにわかってしまっている状態になるので残りはパスワードだけになり、より簡単にセキュリティを突破されてしまいます。

ユーザー名もわからないようにするために別のニックネームを設定しておきます。

ワードプレスの左メニューの「ユーザー」をクリックして
「ニックネーム」をユーザーネーム以外にしておく。
そしてそのすぐ下の「ブログ上の表示名」で設定したニックネームを選択。

これでユーザー名も悪意ある者に簡単にはわからなくなります。

あと他にもユーザー名がわからないようにスラグも抜いておくとよいそうなので
プラグインの「Edit Author Slug」を使って変更しておきます。

さて、本題。
ログインセキュリティ用のプラグイン。
どうするべきか。

候補は
とりあえず、
1.「Limit Login Attempts」
2.「Limit Login Attempts Reloaded」
3.「Login LockDown」
4.「Cerber Security & Antispam」

「Login LockDown」は更新日が2年前になっているのでやめときましょうか。シンプルな作りだから更新する必要がないのかもしれませんが。

「Limit Login Attempts」も更新がずっとされていなくて最近更新したようですが、本物なのかどうかなんとなく疑わしいのでこれもやめときましょう。

「Cerber Security & Antispam」は多機能でこれいいかもしれませんね。評価もこの4つの中ではダントツ。
でも評価を見てみるとなぜか同じ名前のやつが何回も評価してるな。
うさんくさいのでやめときますか。

となると、「Limit Login Attempts」が更新されずに他の有志が「Limit Login Attempts」の続きとして作った
「Limit Login Attempts Reloaded」にしておきましょうか。

日本人の解説ページも多いようですし。

参照記事:

ワードプレスの不正ログインを未然に防ぐプラグイン「Limit Login Attempts Reloaded」の設定方法

Widget logic teamから通知!WPプラグインLimit Login Attempts Reloadedの設定

これでとりあえずセキュリティレベルは上がったかな。

何事も100%は無いので完全に安心になることはありませんが、できる範囲でのセキュリティは最小限でしておきます。

<追記>
この記事投稿の数時間後に、Wordpress.comから
「セキュリティ大丈夫? Jetpackっていういろんな機能をまとめたパックのプラグインがあるから入れるべきだよ?」的なメールがきた。

「あのさ、もっと先に言ってくれない?」
なんでセキュリティプラグイン入れた数時間後なんだよ。もう入れちゃったから余計なプラグインは入れたくないよ。どうすんだよ。

2018年4月17日無題

Posted by HYTZEN