ワードプレスのダッシュボード左下をみると
『7,217ブロックした悪意あるログイン試行』って書いてある。
「ん?それって何?」
「7,217回も不正アクセスされそうになったってこと?」
「対策はどうすれば?」
ということで以下にまとめました。
『悪意あるログイン試行』とは?
WordPressでいう『悪意あるログイン試行』とは、ログイン用URL(例えばwp-login.php)にアクセスして、不正ログインを試みる攻撃のことです。万が一不正ログインされてしまうとブログは何者かに好き放題されてしまいます。ぞっとしますね。
ところで悪意者は何通りものパスワード(およびID)を試すことでログインを図るわけですが、パスワードの組み合わせ数は文字の羅列と桁数によって決まりますので、無限ではありません。無限ではないということは有限なのでいずれはパスワードは破られてしまいます。
私の運営するサイトでは7,217回もログインを試されたわけです。冷や汗ものです^^;
悪意あるログイン試行の対策実施
どうすれば対策できるのか、その一例をまとめました。
- パスワードを強力にする
- 対策プラグインを導入する(例:SiteGuard WP Plugin)
パスワードを強力にする
まず手っ取り早いのはパスワードを強力にする方法。
例えば桁数を多くする。悪意あるログイン試行そのものを防ぐわけではありませんが、不正ログインされてしまう確率を少しでも下げることができます。
当然ながらパスワードの桁数が多くなると組み合わせ数が多くなり、不正ログインされる確率が減ります。
なお、パスワード設定のコツについて公式ページでも紹介されていますので、ワードプレスのヘルプを是非ご参照ください。
強力なパスワードの選び方のまとめ
これ必須
- パスワードを8文字以上にする
- 大文字・小文字の組み合わせを使う
- 途中に数字を含める
推奨です
- 記号、句読点、スペースを含める
- パスフレーズを使う
これはNG
- 単語のみ・数字のみのパスワード
- 個人情報を含むパスワード
- 数字をテキストの代わりに使ったパスワード
- 文字の順序を変えただけのパスワード
- 複数のサイトで同一のパスワードを使うこと
その他の対策としてパスワード生成ツールを活用する方法もあります。
対策プラグインを導入する(例:SiteGuard WP Plugin)
そもそもログインするURLを変えることにより、ログイン試行すらさせない方法があります。
公式サイトの説明書きによれば、対策できる攻撃は以下の3つ。
- 不正ログイン
- 管理ページ(/wp-admin/)への不正アクセス
- コメントスパム
なお、プラグインを有効化することにより、自動的にログインするURLが変更されます。
(WordPressのログインページ(wp-login.php)が「login_<5桁の乱数>」に自動変更)
なるほど、ログインページのURL(/wp-admin/)を乱数を用いて書き換えることにより、他者がログインページにアクセスできる確率を下げるわけですね。よく考えられています。
ログイン用URLは初期値が乱数表示ですが、自分で書き換えることもできます。
しかもログインロックもある優れもの。ログインロックは不正アクセスが連続した場合に一時的にアクセスを制限することができます。
こちらは機能一覧。
使い方の詳細はSiteGuard WP Pluginの公式ページをご参照ください。
おまけ
『Akismetを有効化』というボタンがありました。スパム対策プラグインなんですね。ついでにクリック。
設定完了。スパム対策もやってばっちり^^
と、記事を書いてる間にも悪意あるログイン試行があったようです。
63回増えてました。これがPVだと嬉しいのですが・・・^^;
まとめ
ブロックされた悪意あるログイン試行の数の多さにびっくりしました。今回実施した下記の2つの対策。これで不正アクセスが収まることでしょう。今後も注視していきたいと思います。
- 強力なパスワードの設定
- SiteGuard WP Pluginの導入
コメント