WordPressをブルートフォースアタックから守る3つの方法

Wordpress

WordPress歴6年のエリナです!

WordPress でサイトを運営するにおいて特に気をつけル必要があるのがセキュリティです。

WordPress は利用者が多い関係で非常に狙われやすく、ハッキングされた Web サイトで使用されている CMS の統計が公表されています。

このグラフを見ると分かりますが、Wordpressが圧倒的に狙われています。

エリナ
エリナ

これだけ見ると WordPress を使いたくなくなっちゃうね

WordPress製サイトをハッキングして乗っ取る手法の一つとしてブルートフォースアタックというのが存在します。

今回はブルートフォースアタックの対策方法について解説します。

スポンサーリンク

ブルートフォースアタックとは?

ブルートフォースアタックとは日本語に直すと総当たり攻撃という意味です。

WordPressのログイン画面でひたすらにIDとパスワードを入力して強引にログインする方法で、単純なパスワードを使っているとブルートフォースアタックによってハッキングされる可能性が高まります。

エリナ
エリナ

自動化されてるからものすごいスピードでログイン試行してくるよ

ブルートフォースアタックは簡単にできる

ブルートフォースアタックは仕組み自体がすごく単純で、

  1. ID・パスワードを入力する
  2. 成功するまで①を繰り返す

だけです。

そのため簡単にブルートフォースアタックができるツールが出回っており、誰でも簡単に攻撃することができるのです。

エリナ
エリナ

誰でもできるとか超迷惑だよ

凛

ねー

ブルートフォースアタックされると何が起こる

WordPressが乗っ取られる

運悪くブルートフォースアタックが成功してしまった場合、管理画面に入られて自由に改ざんされてしまいます。

もちろんログインパスワードも管理画面で変更することができるので非常に危険です。

こうなってしまっては全てのアクセスを拒否した上で自分のIPアドレスのみアクセスできるようにして復旧を行うなどの非常に面倒な手間ができてしまうので、何が何でも避けたいところです。

不正なサイトにリダイレクトされる

ブルートフォースアタックによって管理画面にアクセスされてしまうと、ログインしたアカウントの権限次第でテーマやプラグインを直接触ることが出来るので、別のサイトにリダイレクトすることも可能です。

そうなってしまうと自分のサイトがフィッシング詐欺の踏み台に使われてしまうので、せっかく積み上げてきたサイトの信頼が失われてしまいます。

エリナ
エリナ

企業の公式サイトとかだと大問題だよ

ユーザーアカウントが流出する

もし、WordPress を使って会員制サイトを運営していた場合、その会員制サイトを利用しているユーザーのログイン情報も流出する可能性があります。

管理画面にさえアクセスすることができれば、プラグインを使ってデータベースを盗み出すことが出来るため、ユーザー情報も流出します。

ですので、ブルートフォースアタックという基本的な攻撃にすら対策できていない会員制サイトは非常に危険です。

WordPress でブルートフォースアタック対策をする方法

ブルートフォースアタックは攻撃方法が単純ですが、対策方法も単純です。

基本的に専用のプログラムで自動化されているのがほとんどですので、自動化プログラムがブルートフォースアタックできない環境を作ってしまえばいいのです。

Basic認証を導入する

一番確実な方法は管理画面へのアクセスにBasic認証を必須とさせる方法です。

Basic認証とはかんたんにいうと、サイトが表示される前に要求されるログイン手続きです。

このBasic認証はWordpressと独立しているため、

万が一Basic認証対策をしている自動化プログラムに狙われたとしても、Basic認証パスワードをWordpressアカウントのものと全く違うものにしておくと、ブルートフォースアタックでサイトが乗っ取られる可能性が低くなります。

エリナ
エリナ

分かってるとは思うけどWordPress アカウントと同じ ID とパスワードを設定するには意味がないから気をつけてね。

ちなみにConoHa WINGならサーバーパネルで簡単に管理画面だけ BASIC 認証を必要とする設定にすることができます。

Recapthcaプラグインを導入する

GoogleのRecaptchaを導入することによってブルートフォースアタックを困難にすることができます。

2captchaなどRecpathcaを自動検証するツールがあるので、完全に対策するということはできませんが、あるのと無いのとでは大きく違います。

WordPressはかんたんにRecaptchaを導入できるプラグインが公開されているので、それを使うのがおすすめです。

セキュリティプラグインを導入する

総合的なセキュリティプラグインを導入してブルートフォースアタックを対策するという方法もあります。

ログインページの URL を変えて、ログイン試行そのものをさせないようにできたり、ログイン試行回数に制限を与え、制限を超過した後はアクセスを拒否したり、一定時間ログイン試行を無効化するということも可能です。

非常に便利ではありますが、何も考えずに設定すると自分が管理画面に入れなくなったりしてしまう可能性があるので、利用する際には注意が必要です。

ブルートフォースアタック以前に単純なパスワードは設定しないこと

ブルートフォースアタックは単純なパスワードを設定しているとかんたんに突破されて管理画面にアクセスされてしまいます。

「qwertyuiop」のような一見複雑に見えて、実はキーボードの2段目を左から順番に打ち込んでいるだけというのもアウトです。

これも機械的には単純なパスワードの一つです。

機械にとって複雑なパスワードを設定しているとブルートフォースアタックで不正アクセスされる可能性もガクッと下がるので、心当たりある方はWordpressアカウントのパスワードを変更するようにしましょう。

コメントを残す

avatar
  コメントが来たら通知するようにする  
通知
タイトルとURLをコピーしました