以前からWordpressで構築したサイトがハッキングされ、データが改ざんされるという被害が確認されていたのですが、最近になってさらにその被害が拡大しているような気がします。私が管理しているサイトが直接の被害を受けたことはまだ無いのですが、大事になる前に色々と対策を行っている最中です。
万一サイトがハッキングされてしまうと、サイトの内容を書き換えられてしまう上に、大量のスパムメールを送信するための踏み台に使われてしまい、契約しているサーバーによっては、即アカウントが凍結されてしまうといったペナルティを課せられる場合も少なくありません。
今回紹介するLogin LockDownは、Wordpressの管理画面でのログインセキュリティ対策を強化するためのプラグインです。正直言って、この対策だけでは不十分なのですが、やらないよりはマシなので、何も対策を行っていないという方は、ひとまずこのプラグインだけでも入れておいたほうが良いと考えます。
Login LockDownのインストール
Login LockDownを公式サイトからダウンロードしてくるか、管理画面のプラグイン検索画面から検索して、インストール後有効化してください。
バージョンが1.5で止まっており、最後にバージョンアップされたのも2年前という点が少し気になるのですが、botで手当たり次第にログインを試みる対策としてはかなり強化できますので、とりあえずは入れておきましょう。
Login LockDownの使い方
特に設定を弄る必要は無く、有効化するだけで動作します。しかし、設定項目でさらにセキュリティを強化することができますので、以下にその方法を説明していきます。
管理画面→Login LockDownと進み、オプション画面を出します。
初期設定では、「5分以内に3回パスワードを間違えると60分間ログインできなくなる」と設定されていますが、私は上記の様に設定してさらにセキュリティを強化しています。
Max Login Retries
一度にログインを試せる回数の最大値を設定します。初期設定では3回ですが、私は2回にしています。
Retry Time Period Restriction (minutes)
ログイン失敗回数(Max Login Retriesで設定した回数)が回復する時間を設定します。ここは初期設定の5分のままにしています。
Lockout Length (minutes)
指定の回数以上を間違えてログイン制限を受けた場合、次にログインができるようになるために必要な時間を設定します。初期設定では60(分)ですが、私は1000倍の60000分(2500日:約7年)にして、そのIPでは長期に渡ってログインを試せ無い様に設定しています。
しかし、この部分の時間を長くしてしまうということは、万一自分でログインを失敗してしまった場合に、自分も管理画面からログインできなくなってしまいますので、注意が必要です。
Lockout Invalid Usernames?
初期設定ではNOとなっており、NOのままでは「パスワードを間違った場合」にだけログイン制限が適応されます。このオプションをYESにすることで、「ユーザー名」を間違ってもロックがかかるようになりますので、よりセキュリティを強化した場合はYESにしておいた方が良いでしょう。
Mask Login Errors?
この設定をYESにすると、ログイン失敗時に表示されるメッセージが変化します。
Mask Login Errors?がNOの場合。ユーザー名が違う場合は「無効なユーザー名です」と表示されています。
「ユーザー名」は正解で、パスワードが違う場合。勘の良い人であれば、「ユーザー名は正解」というヒントを与えてしまうことになります。
botによる総当り攻撃の場合、この部分の文章まで判別しているかどうかはわかりませんが、対象が人間の場合であれば、これは大きなヒントを与えてしまうことになります。
Mask Login Errors?をYESにすると、「ユーザーネーム、またはパスワードが間違っています」という表示に変更されます。
その他行えるセキュリティ強化対策
Login LockDownをWordpressに導入することで、最低限のセキュリティ対策を行うことは可能です。しかし、あくまで必要最小限の対策ではありますので、さらに対策を強固なものにするために、以下の対策も施しておいたほうが良いでしょう。
- WordPressのバージョンを常に最新のものにする
- プラグインのバージョンを常に最新のものにする
- 更新が行なわれていないプラグインはインストールしない
- ユーザー名を「admin」や「test」等の予測されやすいものにしない
- パスワードを複雑なものにする
- .htaccessで特定のIPアドレスでしかログインできないようにする
- バックアップを定期的にとっておく
セキュリティ対策は過剰にとりすぎてもまだ足りない程に重要なものです。自分の大切な財産(サイト)が、悪意の有る他者によってのっとられてしまうことは、自分の家に土足で上がって家捜しをされていることと同じですからね・・。
特に、複数サイトを運用している方は、今一度自分が管理しているサイトのセキュリティを見直してみてはいかがでしょうか。