WordPressでブログやウェブサイトを作成している人はたくさんいますが、
自分のサイトアドレス/wp-adminでログインしていますよね?
ですがそのアドレス、WordPressを使える人ならだれでも知っています。
つまり、悪意のあるユーザーはログインを試みようとしてくるということです。
私は以前、不正アクセスされました。
そのウェブサイトはこんなログインログが残っています。
一日に何度もログインされ、しかもなんと、パスワードを破られてしまい、サイトが改ざんされてしまいました。
パスワードの変更等はされておらず、なんとか乗っ取られずには済みました…。
今回はそんな被害を避けるためにも、ログインURLを変える方法をご紹介します。
①ログインページの変更方法
②不正アクセスの対策
プラグインの導入・設定
今回はプラグインを使った変更方法をご紹介します。
まずは、プラグイン検索から「SiteGuard WP Plugin」をインストールし、有効化します。
インストールが完了すると、ダッシュボードにSite Guardの項目が追加されます。
ログインページ変更
まずは、ログインページの変更をしましょう。
初期設定ではランダムで作成されていますが、自分の好きなアドレスに変更できます。
このタイミングで変更しておきましょう。
変更したアドレスにアクセスしてみると、そのページにログイン画面が表示されます。
さらに、画像認証が追加されています。
この画像認証が不要の場合は、次の項目をご覧ください。
画像認証をしない
このプラグインをインストールすると、初期設定で画像認証がオンになります。
もし不要であれば、画像認証を開き、ログインページを無効にしましょう。
管理ページアクセス制限
これでログインURLを変更できましたが、初期設定ではwp-adminにアクセスすると変更後のページにリダイレクトされてしまい、意味がありません。
そこで、管理ページアクセス制限をオンにしましょう。
そうすると、wp-adminにアクセスしても404エラーになり、ログインページが表示されません。
更にセキュリティを高めたい人向けの設定
ログインロック
ログインするときに何秒以内に何回入力したらロックするかを設定する機能です。
ブルートフォースアタックやリストアタックでの総当たりを防ぐことが出来ます。
初期値では、5秒以内に3回入力失敗すると1分間ロックがかかるようになっています。
ログインアラート
ログイン処理が行われた場合に管理者のメールアドレスにメールを送信します。
これは自分自身がログインしても送信されるので、不要ならオフにしておきましょう。
フェールワンス
正しいIDとパスワードでログインしても一度目は必ず失敗として扱うものです。
通常総当たり攻撃であれば、同じパスワードで何回もログインしてこないので不正ログインを防ぎます。
自分自身も反映されるので、不要ならオフにしておいてもいいです。
XMLRPC防御
Jetpackやスマホアプリから利用するにはこのXMLRPCという機能が必要でした。
しかし、この機能を利用するとプログラムによる不正ログインをされるようです。
どちらも利用していないのなら、XMLRPCの無効化をしておいたほうが良いです。
ログイン履歴
ログインを試行したユーザーの情報が記載されます。
もし怪しいログイン結果があれば、パスワードを変更したほうが良いかと思います。
まとめ
以上がサイトに不正ログインされないようにするためのセキュリティ対策です。
もちろん他にも対策はするべきことはあるかと思いますが、
あなたの大切なサイトを守るためにも、必ずログインページのアドレスは変更しておきましょう!
コメント