ウェブサイト検索

WordPress でログインページを保護する方法


Web セキュリティは、すべての Web サイトにとって永続的かつ継続的な懸念事項である必要があります。どのような予防策を講じたとしても、改善の余地は常にあります。絶対確実なセキュリティなどというものは存在しないからです。さらに、ハッカーは 24 時間年中無休で徘徊しているため、常に警戒しておく必要があります。ホスティング、脆弱なパスワード、古いバージョンの WordPress、または疑わしいテーマやプラグインは、ボットがサイトに侵入する侵入口となる可能性があります。

ハッカーの侵入を防ぐ 1 つの方法は、WordPress 管理ページまたはログイン ページの保護を強化することです。これは Web サイトへの入り口であり、このページのセキュリティを強化することで、ほとんどのいたずらをすぐに阻止できます。

管理者ページを保護するにはいくつかの方法があります。

ユーザー名の変更

WordPress のデフォルトのユーザー名は「Admin」であり、ボットはこれを認識しています。さて、彼らがあなたのパスワードを推測できたら、文字通り彼らに入場への招待状を渡したことになります。したがって、ユーザー名をユニークで推測できないものに変更してください。たとえば、ニューヨーク サッカー クラブの場合、「NY サッカー」は適切なユーザー名ではありません。

次の簡単な手順に従ってユーザー名を変更できます。

  • 既存の管理者ユーザー アカウントを使用して WordPress にログインします。
  • [ユーザー] > [新規追加] をクリックして新しいユーザーを追加します。
  • この新しいユーザーの役割として「管理者」を選択します。この新しく追加されたユーザーが新しい管理者ユーザーになるため、ここでは一意のユーザー名を指定します。
  • 古い「Admin」ユーザー アカウントからログアウトします。
  • 作成した新しい一意のユーザー名を使用して再度ログインします。
  • 元の「Admin」ユーザーを削除します。すべての古い投稿を古い「管理者」ユーザーから新しいユーザーに再割り当てする必要があります。

phpMyAdmin にアクセスしてユーザー名を変更することもできます。これについては SiteGround で読んでください。

強力なパスワード

ユーザー名の変更はまだ半分です。ボットが推測できないようにパスワードを強化します。誕生日、ペットの名前、好きなスポーツ選手などをすべて正確に推測できます。ブルート フォース攻撃は、試行錯誤によってパスワードを推測する試みを頻繁に繰り返すことです。そして、パスワードが脆弱であれば、必ず成功します。したがって、強力なパスワードが重要です。

強力なパスワードには、数字と文字を大文字と小文字の両方で組み合わせて使用するのが理想的です。 「!」や「@」などの記号を 1 つまたは 2 つ入力します。 WordPress には強力なパスワードを生成するオプションが用意されており、それを使用することもできます。または、パスワード ジェネレーターの助けを借りてください。 「パスワードの安全性」でパスワードが強力かどうかを確認してください。そしてパスワードは定期的に変更しましょう。

パスワードを覚えるのが難しいですか? LastPass、DashLane、KeePass、1Password、RoboForm などのパスワード マネージャーをチェックしてください。パスワード マネージャーはすべてのパスワードを暗号化された形式で保存し、どのデバイスからでもアクセスできます。

私が強力なパスワードを主張していなかったとしても、2015 年の最悪のパスワードをリストした SplashData のこのレポートを読めば説得力があるかもしれません。

ユーザーアクセスを制限する

管理者にアクセスするのがあなただけである場合、これはあなた向きではありません。ただし、複数のユーザーにバックエンドへのアクセスを許可する場合は、ユーザーの権限を厳密に制御する必要があります。タスクを実行するために必要な領域および範囲にのみアクセスと特権を許可します。

それだけでなく、サイトのユーザーは強力なパスワードを使用する必要があります。これを確実に行うには、Force Strong Passwords プラグインをインストールします。このプラグインを使用すると、ユーザーは自分自身に強力なパスワードを設定した場合にのみサイトにアクセスできます。あるいは、本物のユーザーを煩わせることなく、パスワードの強度を検査して強制する Login Security Solution を検討することもできます。

ログイン試行を制限する

ボットは、ユーザー名とパスワードのさまざまな組み合わせを試すことでサイトに侵入します。侵入するまでに何度も試行する必要がある場合があります。単一の IP からの試行回数を制限すれば、ボットがアクセスする可能性を大幅に減らすことができます。

このタスクを実行できる特殊なプラグインがあります –

  • ログイン試行を制限 – IP ごとにログイン試行の速度を制限します。長い間更新されていませんが、よく使用されるプラグインです。
  • ブルート フォース ログイン保護 – .htaccess を使用したブルート フォース攻撃から Web サイトを保護します。
  • Jetpack Protect – WordPress Web サイトをボットネット攻撃から保護します。

一部のウェブホストがこの機能を組み込みで提供していることにも注目してください。たとえば、WP Engine は、(無料の SSL、2 要素認証、自動バックアップ、複数のファイアウォール、マルウェア スキャンなどに加えて)ホストするウェブサイトの安全性を高めるために、2015 年の初めにこれをホスティング プラットフォームに追加しました。

ログインURLを変更する

すべての WordPress Web サイトにログインするための URL は、デフォルトでは、サイトのメイン URL の後に wp-login.php または wp-admin が続きます。 例: mywebsite.com/wp-login.php。ハッカーはこれを知っているので、この URL を変更できれば、ハッカーがあなたの Web サイトにアクセスするのが難しくなります。

Protect WP-Admin をインストールすると、管理パネルの URL を変更し、デフォルトのリンクをブロックできます。 mywebsite.com/allow_admin_access など、任意の名前に変更できます。 mywebsite.com/wp-login.php または mywebsite.com/wp-admin のクエリがサイトに到達すると、ホームページにリダイレクトされます。また、カスタム URL のみが管理パネルに許可されます。

管理ページを保護する完全に信頼できる方法は、wp-admin および wp-login.php ページへのアクセスを完全にブロックすることです。ただし、これは、変更されない 1 つの IP アドレスを使用する場合にのみ使用できます。そうしないと、Web サイトからロックアウトされる危険があります。複数の IP アドレスを追跡できる場合でも、このオプションを採用できます。

HTTP 基本認証を使用して、wp-login.php ファイルへのアクセスを制限することもできます。これは、ユーザーがログイン ページに到達するために通過する必要があるセキュリティの外部層です。すべての承認されたユーザー名とそれぞれの暗号化されたパスワードを一覧表示するには、.htpasswd ファイルを生成する必要があります。 HTTP 基本認証に対してブルート フォース攻撃を仕掛けることもできますが、ハッカーが両方の層を突破するには 2 倍の労力が必要になります。

Web サイトに SSL を追加する

SSL は標準のセキュリティ技術です。 HTTP は、サーバーとブラウザーの間でデータを転送するためのハイパー テキスト転送プロトコルです。 HTTP の安全なバージョンは HTTPS であり、「S」は Secure の略です。これらは連携して、Web サイトの身元をユーザーに確認し、Web サイトとユーザーのブラウザ間の機密性をユーザーに保証します。

SSL/HTTPS を設定すると、サーバーはデータを暗号化し、ユーザーのブラウザだけがデータを解読できるようになります。望ましくない第三者にとって、データは意味をなさず、単なる文字列として表示されます。おまけに、Google が Web サイトをランキングする際に HTTPS を優先していることがわかります。

特に Chrome ブラウザを使用している場合、SSL 証明書の取得はオプションではなくなる可能性があります。それは、Google が HTTPS 以外のすべてのサイトを「安全ではない」とマークする予定であるためです。

現在、HTTPS 以外のすべてのサイトは SSL ステータスの表示に関して単に中立ですが、2017 年 1 月に変更される予定です。パスワードを必要としたり、クレジット カード情報を収集したりするすべての Web サイトは安全でなければなりません。そうしないと、Google によって安全ではないと分類される危険があります。

Comodo、DigiCert、SSL.com など、多くの企業が認証サービスを提供しています。証明書は、SSLMate からはあまりコストをかけずに、Lets Encrypt からは無料で取得できます。一部のホスティング サービス プロバイダーは、ホスティング プランで無料の SSL を提供しています。 SSL のインストールについて詳しくは、HTTPS と無料 SSL ガイドをご覧ください。

二要素認証

2 要素認証は、Web サイトをハッカーから保護する最も安全な方法の 1 つです。すでに持っている標準のユーザー名/パスワードに加えて機能します。これらの資格情報を入力すると、所有しているデバイス (多くの場合はスマートフォン) でコードが生成されます。このコードを入力した場合にのみ、サイトにアクセスできるようになります。

多くの無料プラグインとプレミアム プラグインを Web サイトにインストールできます。このセキュリティ手法はかなり前から存在していましたが、現在では Web サイトへのアクセスにますます適用されています。 2 要素認証について詳しくは、以前の投稿をご覧ください。

セキュリティプラグイン

多くの Web サイトでは、WordPress のセキュリティを包括的に管理するプラグインがインストールされています。これらには、ファイアウォール保護、マルウェア スキャン、IP のブラックリストとホワイトリストへの登録、ユーザー アクティビティの監視、監査ログが組み込まれており、全般的にセキュリティが強化されます。無料オプションとプレミアム オプションの両方が利用可能です。

ログイン保護を含む一部のプラグイン、

  • Wordfence – 強力なパスワードを強制し、ブルート フォース攻撃を防ぎます。
  • iThemes – 自動化された攻撃に対抗し、ログイン試行回数を制限します。また、より厳格なユーザー認証情報も実装されます。
  • オールインワンのセキュリティとファイアウォール – ブルート フォース攻撃を防止し、IP レベルのブロックを可能にし、指定された期間後にユーザーをロックアウトします。その他のログイン保護機能には、ログインのロックダウン、IP アドレスのホワイトリストとブラックリストの登録などがあります。
  • 防弾セキュリティ – ログインとブルート フォースからの保護。
  • McAfee Secure – 信頼できるサイト マーク、マルウェア スキャン、電子商取引ストアの ID 保護カバレッジ (巨大な資産) など、複数の層の保護を提供します。

最終的な考え

この投稿に記載されている方法は、ほとんどがシンプルですが、ボット、マルウェア、いたずら作成者による Web サイトへの侵入を阻止できる非常に効果的な方法です。また、キャプチャやその他の小さなテストを追加して、ログイン試行が人間によるものかどうかを確認し、ボットを防ぐこともできます。 WordPress のセキュリティに関するヒントがさらに必要な場合は、この投稿で Freddy の意見をお読みください。