WordPress全体のセキュリティ対策をするには、まずWordPressの潜在的に脆弱な部分となっているログインを攻撃者から守る効果的なセキュリティ戦略が必要となります。この記事では、WordPressのログインを強化しセキュリティ向上させるための5つの簡単なルールについて説明します。


1.強力なパスワードを使用する

WordPressのログインセキュリティ

reCAPTCHAの導入 株式会社FORTUNA

WordPressのログインパスワードを「覚えやすさ、誕生日」などハッキングされやすいものを使用してはいけません。では強力なパスワードにするには、どうのような方法がよいのでしょうか。

それは「パスワードの長さ」です。

以下は、4コアi5プロセッサーを使用してWordPressパスワードをクラックするのにかかる推定時間を示しています。

  • 7文字がクラックするには.29ミリ秒かかります
  • 8文字が割れるのに5時間かかります
  • 9文字が割れるまで4ヶ月かかります
  • 10文字はクラックするのに10年かかります
  • 12文字がクラックするのに2世紀かかるでしょう

上記のとおり、パスワード半角英数字と記号を混ぜて複雑にするほど、ログインのセキュリティが大幅に向上します。さらに文字をランダム化すると、予測可能性が低下し、パスワードの強度が高まります。

ランダムパスワードを一括生成 | すぐに使える便利なWEBツールようなパスワードマネージャを使用すると、パスワードを簡単に生成して安全に保存できます。

2.アカウントごとに異なるパスワードを使用する

WordPressのログインセキュリティ

常時SSL化のメリット 株式会社フォチューナ

WordPressを管理するユーザーには、5つの権限種類があります。

  • 管理者:WordPress の全ての操作が可能
  • 編集者:コメントやリンクの管理などコンテンツに関する全ての操作が可能
  • 投稿者:記事の投稿や編集、公開が可能
  • 寄稿者:記事の下書きと編集のみ可能
  • 購読者:閲覧のみ可能。会員制サイトを作りたい時などに使う可能性がある

WordPressは、上記の5つから選ぶことができ、与えたユーザー権限によって更新(運用作業)できる範囲を管理者が決めることができます。たとえば、店舗や支店が多いWEBサイトやビジネスの場合は、A店をAユーザーが更新する、B店をBユーザーが更新するなど、ユーザーごとにIDを発行し、更新操作する権限を付与して個別に管理するようにしましょう。ただ、複数ユーザーが存在する際に、共通したパスワードをすべてのユーザーが同じく使用しない(または再利用)ように、気をつけなければいけません。

各ユーザーはそれぞれ違うパスワードでWordPressにログインすることが重要です。

3. ログイン試行回数を制限する

WordPressのログインセキュリティ

wordpressログインセキュリティ

WordPress標準機能には、ユーザーがログインする時に何回か入力間違いをした場合、ロックやアクセス制限をするセキュリティはありません。ユーザー本人であればいいのですが、もしそれが悪意のある攻撃者の場合、それは非常に危険です。攻撃者が制限なしに何度も試行でき、成功するまで無限の数のユーザー名とパスワードを試し続けることができるからです。

アクセスを制御するプラグインを導入すれば解決できます。Limit Login AttemptsiThemes Security ProなどのWordPressセキュリティプラグインをインストールすれば、ログイン試行の失敗回数を制限したり、ログインURLを変更することも可能なため、WordPressログインセキュリティを強化できます。

4. リクエストごとの外部認証試行を制限する

WordPressのログインセキュリティ

wordpress ログインセキュリティ

WordPressのログイン画面やダッシュボードにログインする人、会社(場所)を決め、それ以外からアクセスできないようにしましょう。
例えば、自身のスマホや自宅PCからサイトを更新するといったことはセキュリティ上、安全度が高いとは言えないので運用上 避けた方が良いでしょう。アクセスを許可する国内IPアドレス(社内/更新を依頼する会社など)を、サーバーへ登録しアクセス制限を行うことで、さらにログインセキュリティを強化できます。

5. 管理ページのセーフリストとブロックリストを設定する

WordPressのログインセキュリティ

ログインページが不正なIPアドレスからのアクセスやブルートフォース攻撃から保護する必要があります。URLロックダウンを有効にすることで 許可されたIPアドレスのみアクセスが可能になります。登録は、以下の3つの方法があります。

– .htaccessに許可IPを記載する –
サーバーにアップロードするhtaccessファイルに「特定アクセスを拒否」する設定の場合は、「allow from all」の後に許可するIPアドレスを指定し記述します。このルールを使用して、/wp-adminなどの他の認証済みURLを制限することもできます。

– IPを制限できるセキュリティプラグインを導入する –
htaccess同様に制御が可能です。さらにブラックリストと呼ばれる機能があるため、ログインページのURLにブロックリストに追加すれば、セキュリティ強化にも繋がります。

– レンタルサーバ会社の管理画面で制御する –
契約したサーバー会社の管理画面にアクセスして、IP登録を行います。ただし制御できる機能が必ずあるわけではないので、事前に確認が必要です。

上記の3つの方法が存在しますが、管理しやすさ・柔軟性・セキィリティレベルを考慮して選択することが重要です。


まとめ

WordPressのログインセキュリティ

WordPressのログインセキュリティは、すべてのサイトで最優先事項です。
ほんのわずかな手間で、攻撃者からWordPressアカウントを守ることが出来、ログインセキュリティを大幅に強化することが可能です。

上記のWordPressのログインセキュリティを強化する5つの方法は、非常に効果的です。
ぜひセキュリティ戦略に役立ててください。

フォチューナでは、豊富な実績から生まれたWordPressに特化したセキュリティプランをご用意しています。
サーバの引っ越しからWordPressのセキュリティ監視まで一貫してサポートしておりますので、ぜひお気軽にご相談ください。