簡単らくらく!WordPressセキュリティ対策プラグイン「Loginizer」で管理画面を不正ログインや乗っ取りから防ぐ【ブルートフォース攻撃予防】
Loginizerでセキュリティ対策を実施してWordPressの管理画面に対する不正ログインやアカウント乗っ取りを防ぐ方法を紹介
WordPressは非常に便利で、誰にでも扱いやすいということから、全世界的に広く普及しています。その反面、利用者が多いものには悪意の対象になることはどうしても避けられません。
実際に全世界でWordPressを狙った攻撃が確認されています。
- WordPressの管理画面に不正ログインされた
- WordPressのアカウントを乗っ取られた
- WordPressのデータを盗まれた・改ざんされた
など。
上記のようなことにならないためにも、WordPressサイトにはセキュリティ対策を行いましょう。
今回は管理画面への不正ログインや乗っ取りを防ぐためのWordPressのセキュリティ対策プラグイン「Loginizer」を紹介します。Loginizerの最大の魅力は「誰でもとても簡単」にセキュリティ対策がおこなえるという点です。
もし管理画面へのセキュリティ対策を行っていないようであれば、まずは簡単なLoginizerを利用して対策を行いましょう。
- 目次 -
WordPressは「なぜ」不正ログインや乗っ取りが行われているのか?
WordPressのサイトが不正ログインや乗っ取りが相次いでいる理由は、WordPressの管理画面は初期状態ではセキュリティ対策が行われていないためです。(2018/12 現在時点)
また、誰にでも手軽にWordPressのサイトを作れるようになったため、「WEBの知識が少ない人」や「セキュリティに対する意識が少ない人」が利用できてしまっていることも影響していると言えるでしょう。
WordPressは「どうやって」不正ログインや乗っ取りが行われている?
最も多いのがWordPressの管理画面にアクセスし、適当な文字列でひたすらログインを試みる「ブルートフォース攻撃」です。
WordPressの管理画面へのログインページは、簡単にアクセスされてしまうので特に対策をしていないと簡単に管理画面のログインページまでアクセスされてしまいます。
ログインページまでアクセスされた後は、様々な文字列でひたすらログインしようとしてきます。このブルートフォース攻撃はプログラミングにより自動化されて行われるため、非常に高速で行われるうえ、恐らく特定されるまで繰り返しログイン試行が行われてしまいます。
そのため簡単にいくつものWordPressサイトが不正ログインや乗っ取りにあってしまうわけです。
Loginizerは何ができるの? – どうやって不正ログインや乗っ取りを防ぐ?
今回紹介するLoginizerでは、ログイン試行回数をチェックし、何回もログインを試そうとしたIPのログインをブロックすることが可能になります。
これにより不正ログインや乗っ取りを防ぐことが期待できます。
Loginizerはなんとインストールして有効化するだけでOKなプラグインなので非常に簡単に導入できて便利です。
その他にも、設定画面では以下のような機能を利用することも可能です。
- 不正ログインの疑いがある場合はメール通知を行う
- ログインIPのログを残す
- ブラックリスト機能
- ホワイトリスト機能
など。
Loginizerのインストール
実際にLoginizerをインストールしてみましょう。
1.WordPressサイトの管理画面にログイン後、サイドメニューからプラグイン->新規追加にアクセスする。
2.「プラグインを追加」の画面にてキーワードに「Loginizer」と入力し検索後、対象プラグインの「今すぐインストール」を押下する。
3.インストール完了後は有効化にボタンが変化するのでを「有効化」を押下する。
以上で、Loginizerのインストールと有効化が完了しました。
Loginizerの設定画面と設定方法
1.WordPress管理画面のサイドメニューに、Loginizer Securityが追加されているのでLoginizer Security -> Brute Forceを押下することで設定画面にアクセスします。
2.Loginizerの設定画面にアクセスをした後は、設定項目が一覧で表示されているので、お好みにあわせて設定を行います。
※デフォルトで推奨値が設定されているので、特に設定を変更しなくても有効です。詳しく設定したい人のみお好みにあわせてカスタマイズしてください。
以下に設定画面で行えることを記載しましたので、カスタマイズしたい人は参考にしてください。
Failed Login Attempts Logs (ログインを失敗したIPの一覧)
Failed Login Attempts Logsは設定する項目はありません。ログインに失敗した情報を一覧で表示します。
参照できる項目は以下の通りです。
#
ナンバーです。登録された順にナンバーが採番されます。
IP
ログインを失敗した端末のIP情報です。
Attempted Username
ログイン失敗時に入力されたユーザー名です。
Last Failed Attempt (DD/MM/YYYY)
ログインに失敗したときの日付です。
Failed Attempts Count
ログインに失敗した回数です。
Lockouts Count
ログインに失敗し続けてロックになった回数です。
URL Attacked
ログインに利用されたログインページのURLです。
なお、
- Remove Frome Logsボタン押下で対象ログを削除
- Clear All Logsボタン押下で全てのログを削除
することができます。
Brute Force Settings (ブルートフォース攻撃の設定)
設定が必要なのは、このBrute Force Settingsになります。設定が甘すぎると意味がありませんし、厳しすぎても自分が打ち間違えたときにロックされてしまうので注意が必要です。自身の管理基準で設定を行っていきましょう。
以下を参考に各項目を設定しましょう。
Max Retries
ログインを失敗できる回数です。Max Retriesで指定した最大回数を超えた場合、対象IPからのログインは一時的にロックしてログインできないようにします。
Lockout Time
最大回数ログインに失敗したときに、対象IPからのログインを何分間ロックするかを設定します。
Max Lockouts
ロックを許す回数を設定します。
Extend Lockout
Max Lockoutsで指定した最大ロック回数を超過した場合に、対象IPに対してペナルティとして何時間ログインできなくするかを設定します。
Reset Retries
ログイン試行回数やロックアウト回数を何時間でリセットするかを設定します。短すぎると何度でもリトライできるようになってしまうため、最低でも24時間以上に設定することをおすすめします。
Email Notification
ロックが行われたときのメール通知について設定します。何回ロックが発生したときにメール通知を行うか設定します。メール通知が不要であれば0を設定します。
Whitelist IP (ホワイトリストの設定)
Whitelist IPではホワイトリストの設定を行います。
ホワイトリストの登録
入力されたStart IPからEnd IPまでのIP帯を全てホワイトリストに登録します。これにより該当するIPはログインを何度失敗しても、ロックされることはなくなります。また、End IPを未入力で登録(Add Whitelist IP Rangeボタンを押下)することで、Start IPに入力したIPをピンポイントで登録することも可能です。
もし自身がログインに何度も失敗するようであれば、ホワイトリストに自身の端末が利用するグローバルIPを設定しておくと良いかもしれません。
ただし個人的には設定しないことをおすすめします。接続場所が違えばネットワーク帯も変わりグローバルIPも変化するので、あまり意味をなさなかったり、思わぬIP帯を接続許可してしまう恐れがあるからです。ネットワークに対する知識がある人のみ、対応が必要であれば設定するようにしましょう。
ホワイトリストの削除
Delete All Whitelist IP Range(s)ボタンを押下することで、ホワイトリストを全て削除することができます。
Blacklist IP (ブラックリストの設定)
Blacklist IPではブラックリストの設定を行います。誰かに攻撃されているようであれば、上記で紹介した「Failed Login Attempts Logs」のログを基にIPを確認しブラックリストに登録しましょう。そうすることで対象IPからのログインを行えないように設定します。
なお設定方法はWhitelist IPと同じなので省略します。
Error Messages (エラーメッセージの設定)
Error Messagesでは
- ログインを試みて失敗したとき
- ブラックリストに登録されたIPがログインを試みたとき
にログインページに表示するエラーメッセージを設定します。
Failed Login Attempt
WordPressサイトの管理画面へのログインページで、ログインに失敗したときに表示されるエラーメッセージを設定します。未入力の場合は以下のように「Incorrect Username or Password」が表示されます。
Blacklisted IP
ブラックリストに登録されたIPからログインを試行されたときに表示するエラーメッセージを設定します。未入力の場合は以下のように「Your IP has been blacklisted」が表示されます。
Loginizerの使い方
Loginizerをインストールして有効化した時点で、既に利用できています。もし不正利用を試みるユーザーがログインを何度も試そうとしてきた時は、必要に応じて対象IPからのログインをロックし、サイトを守ります。
なお、リアルタイムでWordPressのサイトが攻撃されていないか気になる人は、上記のカスタマイズ方法で紹介した「メール通知」を設定しておくことをおすすめします。
WordPressの管理画面にセキュリティ対策を行い、不正ログイン・乗っ取りを防ごう
WordPressの管理画面は初期状態ではセキュリティ対策が行われていない(2018/12現在時点)ので心配ですよね。
そのためWordPressのサイトを運用するなら、まずはインストールして有効化するだけで機能するWordPressプラグイン「Loginizer」をサッと導入してセキュリティ対策を行いましょう。