SNSや名刺を頂いた士業の先生のHPを拝見させて頂く時に内容もさることながら、使っているワードプレスのテーマやセキュリティもどれぐらい対策されているのかコッソリ確認をさせて頂いたりしています。その時に結構「セキュリティガバガバですやん。」といったページもあります。もし、あなたのサイトへアクセスした顧客が突如詐欺サイトへ強制的に飛ばされるように改ざんされら。。。今日ご紹介している内容のセキュリティ対策ができているかどうかの確認の方法と強化の例をご説明致します。
あなたのサイト本当にセキュリティ大丈夫ですか?
ワードプレスはウェブ上にあるので管理画面にアクセスすればサイトの内容を自由に書き換えできてしまいます。
- サイト管理画面URL
- ID
- パスワード
この情報が3つわかれば誰でもアクセスできます。この3つをいかにして守るかが不正アクセスへの対策のカギになります。
ワードプレスで作成されたサイトの管理画面の初期のURLはサイトのURL+/wp-login.php またはURL + /wp-adminです。
つまり https://hogehoge.jpでは https://hogehoge.jp/wp-login.php または https://hogehoge.jp/wp-admin
ご自身のサイトで/wp-login.php か /wp-admin をつけて管理画面が表示されるか確認してみてください。表示された時点で、攻撃者にロックオンされる確率が飛躍的に上がります。
そのログインID漏れているかもしれません
今度はサイトのURLに/?author=1とつけてアクセスを試してみてください。
つまり https://hogehoge.jpのサイトではhttps://hogehoge.jp/?author=1です。
URL欄やテーマ設定によってはページの投稿者名にIDが表示されていませんか?特にIDがadminとかadministratorとかだとセキュリティ意識低そうな感じがするので攻撃者にはネギを背負ったカモにしかみえません。3つのうち2つがわかれば後はゆっくりパスワード総当たり攻撃等されたらひとたまりもありません。
強化方法の例
.htaccessファイルを書き換えたり、テーマファイルのコードを修正したりやり方はいくつかありますが、プラグインを使うのが簡単で手っ取り早いと思います。ただしプラグインはサーバやテーマ、既にインストールされているプラグインとの相性等によって管理画面自体が全く表示されなくなる等トラブルが起きる可能性もあります。もし相性が合わない場合は他にも同様のプラグインがいくつかありますので、必ずバックアップを取って復旧できる状態で自己責任で検証の上導入をご検討ください。
事前準備:管理画面の今のIDとパスワードを把握している状態で作業をしてください。普段はブラウザ自動入力で把握していない状態でこの手順を実行するとURLが変更になるので自動入力されません。
①ワードプレス管理画面にログインし左の項目から”新規プラグインを追加”を選択します。
②検索窓に「 SiteGuard WP Plugin 」と入力します。SiteGuard WP Pluginの”今すぐインストール”をクリックします。
左の項目にSiteGuardが表示されていればOKです。もし表示されていない場合は左の項目のインストール済みプラグインで
SiteGuard WP Pluginの項目のすぐ下にある”有効化”をクリックします。
③左のメニューからSiteGuard>ログインページの変更をクリックします。
- 有効にします。
- 変更後のログインページ名をご自身だけ把握できるurlにします。事務所の住所とかHPに書いてある内容は当然ダメです。サイトと全く関係ないようなURLの方がいいです。ex) mugiwara-kaizokudan ただし、必ずどこかに控えるかスマホでスクショを撮って自分は忘れないようにしてください。忘れるとブラウザ閉じて開きなおす時に自分も開けなくなります。
- 管理画面からログイン画面にリダイレクトしないにレ点をいれます。
変更を保存をクリックします。
④左のメニューからSiteGuard>画像認証をクリックし、これも有効で変更を保存をクリックします。
⑤左のメニューからSiteGuard>ユーザー名漏えい防御をクリックし、これも有効でREST API無効化をクリックし変更を保存をクリックします。
残りの設定はログインアラートなんかもログインされるとメール通知が届くので設定した方がいいと思いますが好みと他のプラグインとの兼ね合いをみて適宜設定して頂くとよろしいかと思います。
⑥いったんログアウトし、今作成したURL(③の例だとhttps://hogehoge.jp/mugiwara-kaizokudan)でログイン画面が開くこと
とログインを確認します。今までのブックマークからのアクセスではないですよ!ブックマークは張りなおしてください。パスワ
ード入力欄の下に画像認証も表示されているかと思います。毎回文字が変わるのでこれも飛躍的にセキュリティを高めてくれます。
さらに
セキュリティレベルと手間はトレードオフの関係にあります。レベルを上げれば上げるほどご自身もアクセスの手間が増えます。
そこはバランスの見極めが必要ですが、2段階認証も併用するとかなり強力な対策になります。これはスマホアプリで1分ぐらいの間隔で表示されるパスワードも必要になります。スマホ端末が手元にないと本人でもログインできません。利用する場合はスマホ買い替えや紛失のリカバリ対策も一緒にしておくのがおススメです。