WordPressのログイン画面はパスワード総当たり攻撃を受けると時間の問題で突破されます。一定回数のログインエラーをすると、ログインをしばらくできない設定にすることでこの攻撃は防げます。プラグイン「Limit Login Attempts」を使うとこの機能が使えます。それ以外に最低限やるべきWordPressのセキュリティ対策は、ユーザー名を「admin」以外にする、パスワードは、意味のない文字と数字の組み合わせで作る、SSL化してネットの経路の途中で盗み見できなくする、といった感じです。

さくらインターネットさんが

【重要】WordPressセキュリティ強化のお願い

というお知らせをアップしてました。

またWordPressに不正ログインされて被害を受けているユーザーが増えているんでしょうか?

ちなみに、突破されるのは、ユーザー名に「admin」を使っていたり、簡単に推測できる文字を使っているケースがほとんどです。

ユーザー名をちゃんと設定して、パスワードはジェネレーターなどでランダム作ったものを使えば一気に危険度は下がります。

 

ちなみに、さくらインターネットさんは、私としては昔から好きだった廉価版のレンタルサーバー会社です。

一番最初に使ったのがさくらインターネットさんだったぐらいです。

 

ただ、”今回”で見切りを付けました。

もちろん、理由は、以前からお知らせしている”無料SSL”がないことです。

そもそもフットワークの軽い方の会社だっと思うのですが、今回は微動だに動きません。

無料SSLがないと不便で仕方ない時代がくる感じなのでさくらさんとはしばらくお別れします。

 

話はセキュリティに戻りますが、パスワードというのはいわゆる”総当たり攻撃”を受けると時間の問題で突破されます。

つまり、何回ログインに失敗しても続けられるような場合は総当たり攻撃の対象になるのです。

例えば、10回連続でログインに失敗したら一定時間ログインができなくなるようにすれば総当たり攻撃は現時的にはできなくなります。

これが私がご紹介しているプラグイン「Limit Login Attempts」が実現してくれる機能です。

入れていない方はオススメします。

 

それと、またSSLネタですが、https化していないサイトのログインは、ネット経路の途中でデータを盗み見できます。

ですから、理論上はログインで入力しているパスワードだって漏れていることになります。

もちろん、これは理論上の話であって、そこまで暇なハッカーもいないので狙われない限りは大丈夫でしょう。

逆に言えば、https化してしまえばログインパスワードは暗号化されますから、仮に狙われてもまず突破されることはなくなるわけです。

ところで、セキュリティ対策は、やり始めると重たい鎧を何重にも着ることと同義になります。

つまり、動きが鈍くなるのでビジネス的には本末転倒になるのです。

個人的な意見としては、横着しろとは言いませんが重装備はもっとオススメしません。

ところが、今回のさくらインターネットさんのお知らせのように業者側は自分たちが”面倒くさいこと”になるので平気で重装備を要求してきます。

確かに、初心者やPCが苦手な人の面倒を廉価な料金で全て見られる訳ではないですから妥当な判断かもしれません。

ところで、大した重装備ではありませんが、使い勝手が悪くなる例としては画像認証があります。

例えば、ログイン画面での防御策として、ユーザー名とパスワード以外に画像で表示された文字を手入力させるプラグインがそうです。

これって確かに総当たり攻撃には強くて突破されにくいですが、運用としては結構面倒クサくなりますよね。

絶対ではないですが、私は対策としては「Limit Login Attempts」で十分だと思っています。

これで、99%のロボットからの攻撃は防げます。

ただし、何にもセキュリティ対策していないのは論外です。

  1. ユーザー名を「admin」以外にする。
  2. パスワードは、意味のない文字と数字の組み合わせで作る。
  3. SSL化して途中で盗み見できなくする。
  4. そして、何か1つセキュリティ対策のプラグインを入れる。

これぐらいはやらないとダメです。

くどくて申し訳ないですが、SSL化はやった方がいいですよ。

ご自身でできない場合は、お金がかかりますが私に依頼してください。

【https化作業の代行サービス】

 

Comments

comments