最終更新日:2022.12.01
アクセスログに不審なアクセスが多い場合、WordPressサイトへの不正アクセスが試みられているかもしれません。そのためセキュリティ対策を施しておくことが重要になります。
WordPressは世界中で最も利用されているCMSであるため、便利な反面、脆弱性が見つかると攻撃者に狙われやすいというリスクがあります。WordPressサイトが不正アクセスされると、サイトが改ざんされたり個人情報が漏洩するなどの重大なインシデントにつながる場合があります。
しかし、有効な施策をいくつか組み合わせておくと、セキュリティリスクを大幅に軽減することができます。
不正アクセスを防ぐ有効な施策
ユーザー名・パスワードを複雑なものに設定する
基本的な対策になりますが、ログインユーザー名やパスワードを複雑なものにしておくことは重要です。
実際に管理画面へ不正ログインが試みられたケースのログを見ると、ユーザー名が「admin」や「user」などであることがあります。ユーザー名は単純でないものにしておきましょう。
また、パスワードはさらに複雑なものに設定しておくことが重要です。WordPressインストール時にパスワードを自動生成することができますが、一番強力なものを選んでおくとよいでしょう。
WordPressサイトへの不正アクセスはそのほとんどが脆弱なパスワードが原因ともいわれており、基本ではありますがパスワードを複雑にしておくことは重要な対策になります。
管理画面にIP制限をかける
強力な方法として、WordPressの管理画面にIPアドレス制限をかけることです。
基本的にWordPressサイトに権限のある管理者が管理画面にアクセスする場合、会社オフィスなど特定の場所で行うはずですので、自ずとIPアドレスは限定されるはずです。
仮に不審なアクセスログを見つけた場合、そのIPアドレスを遮断することにはあまり効果がありません。IPアドレスは容易に変更可能であること、他の攻撃者からも狙われるリスクがあることから、効果は期待できません。
攻撃者のIPを都度除外するのではなく、アクセス可能なIPアドレスをあらかじめ絞っておくことで、不正なアクセスを防げる可能性が高くなります。
IPアドレス制限を行うには専門の知識が必要になりますので、ウェブ制作に関する専門家に依頼することをおすすめします。
ログイン画面を推測されにくいURLに変更する
WordPressの初期設定では、ログインページのURLは下記のようになっています
https://ドメイン名/wp-login.php
そのため、ウェブサイトのドメインさえわかれば、簡単にログインページにアクセスできてしまいます。
初期設定のURLを複雑なログインページURLへ変更するには、プラグイン「SiteGuard WP Plugin」を使うことによって実現できます。
管理画面から簡単な操作で任意のURLに設定することができます。詳細については以下の記事も参照してください。
2段階認証(2要素認証)を利用する
2段階認証(2要素認証)とは、IDとパスワード入力のほかに、認証のためのもう1ステップを設けることで、正規のユーザー以外が不正に情報にアクセスすることを防止する仕組みです。
2段階認証にも様々な種類がありますが、WordPressの2段階認証として採用されている方法は下記があります。
- ランダムにセキュリティーコードをメールに送信する
- ロボットによる操作ではないことを確認「CAPTCHA」認証
- 画像選択
- Google認証
2段階の認証にしておくことによって、万が一IDとパスワードが流出しても、不正アクセスを防ぐことができます。
WordPressのログインに2段階認証設定は、プラグインを利用することにより可能になります。
代表的なプラグインとして「Two Factor」や「Google Authenticator」などがあります。
まとめ
WordPressサイトで不正なアクセスを防ぐ方法の一部を紹介しました。
このほか、WordPressの本体、テーマ、プラグインのアップデートをこまめに行う、万が一に備えて定期的にバックアップをとることも重要です。
すでにセキュリティ対策を実施している場合でも、プラスして他の対策も検討することでさらに強力なセキュリティ対策になります。
不正なアクセスログが多い場合、放置せずにセキュリティ対策を見直してみてください。
以下も閲覧しています
