なんにもない日の頭の中はこんなもんだったりする

【WordPress】『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)で解決

【WordPress】『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)で解決

ある日、ワードプレスのダッシュボード(管理画面)に『ブロックした悪意あるログイン試行』が大変なことになっていました。

きのこさん
んん、どうしましたか?
きのこさん
『52,416』ってなってました!

『ブロックした悪意あるログイン試行』事件

プラグインの『Jetpack』に任せていたので何事もなく平和な日々を過ごしていたのですが、悪意のあるログイン試行のアクセス数が急増していることに気付いたのです。

その数、『52,416』!

大変な事件です。
乗っ取られていないのがすごいです。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

調べてみると、『ブロックした悪意あるログイン試行』は、ブルートフォースアタック(いわゆる総当たり攻撃)されていることが多いということがわかりました。英数字の組み合わせを何通りも試して不正アクセスをする。そして乗っ取る。なんと恐ろしいことでしょう。

と言うことで早速セキュリティ対策しました。

対応しましょう。プラグイン『Site Guard WP Plugin』を入れましょう。

プラグインの入れ方は簡単ですが、初めての方は下記を参考にどうぞ。

『プラグイン > 新規追加 > SiteGuard WP Plugin』→『今すぐインストール』して有効化にする。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

インストールすると管理画面のメニューに『SiteGuard』が表示されています。

『SiteGuard』のダッシュボードにアクセスしてみましょう。
設定状況が一目で確認できるのが素敵です。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

『ログイン画面』のURLを変更する

では早速設定をしていきましょう。
まずは『ログインページ変更』です。

『変更後のログインページ名』を好きな名前に変更して『変更を保存』ボタンを押す。(英数字、ハイフン、アンダーバーが使用できます。)

これで『ログイン画面』のURLが変更できました。
※ブックマークの変更を忘れずにー

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

『管理ページアクセス制限』をONにする

『SiteGuard』のダッシュボードにある『管理ページアクセス制限』を設定します。
ここは『ON』にするだけでOKです。
除外パスは自動的に入るので特に変更する必要はありません。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。

『ログイン履歴』で確認する

『SiteGuard』のダッシュボードから、『ログイン履歴』を簡単に確認できます。
不正ログインは『失敗』と表示されます。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

ログインの履歴が参照できます。怪しい履歴がないか確認しましょう。履歴は、最大10,000件記錄され、10,000件を超えると古いものから削除されます。

『画像認証』をONにする

『画像認証』はデフォルトでONになっていると思うのでそのままでOKです。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。

画像認証は『ひらがな』をおすすめします。

ログイン画面が以下のようになっていたらOKです。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

『ログインアラート』はOFFでもいいと思います

『ログインアラート』をONにしていると誰かがログインするとメールが送られてきます。ということは自分でログインした時もメールが送られてくるのです。なのでOFFでもいいかなと思います。

『ブロックした悪意あるログイン試行』の対策には、Site Guard WP Plugin(プラグイン)

不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)XML-RPCによるアクセスは通知されません。

さいごに

『Site Guard WP Plugin』を導入してからは『ブロックした悪意あるログイン試行』のアクセスが増えなくなりました。『Jetpack』はもちろんそのまま使用しています。
『Jetpack』と『Site Guard WP Plugin』の組み合わせで『ブロックした悪意あるログイン試行』のセキュリティ対策は問題ないかと思われます。

きのこさん
よかったですねー
きのこさん
また数か月後に経過報告をしたいと思いますー
Web design gallery - デザインのこと - ウェブデザインあつめました。
いつかのこと

おすすめ

Googleさんのおすすめ

Googleさんのおすすめ

デザインの記事

ネ・ネット | HUMOR ユーモア
itgirlie
  • 2019.11.11New
  • itgirlie
  • 国内、海外のウェブデザイン、パソコン・タブレット・スマートフォンでも見やすいレスポンシブ対応の「あ、いいな」と思うウェブデザインを集めています。
  • デザインのこと – Web design gallery
11月13日
11月12日