WordPressで構築したサイトのセキュリティ対策

シェアする

最近、サイトにアクセスした時の高速化を徹底的にはかっていて、ほぼ満足できる水準に近づいてきたのですが、ときどき写真をアップロードしたり、エントリーを更新しようとした時に、503エラーに遭遇する場合が出てきました。
ネットで何が原因かを探ってみると、不正アクセス、不正ログインなどを企てているトランザクションが多く発生して、サイトが重くなっている場合があるようです。

スポンサーリンク



SiteGuard WP Plugin

そこで、不正アクセスからブログを守るための方法について勉強してみました。その中で、SiteGuard WP Pluginという無料のプラグインの人気が高いようです。こちらをインストールしてみることにしました。

下記の多彩な機能があります。

(1)  ログイン履歴の表示

プラグインのダッシュボード上に、日時、ログイン結果、ログイン名、IPアドレスの一覧が表示されます。不審なアクセスがあったか否かを簡単に確認できます。

(2)  管理ページアクセス制限

ログインしていないユーザーをWordpressの管理画面へアクセスできないようにします。ログインせずに「wp-admin」ディレクトリ配下のファイルにアクセスすると404エラーを返却します。

 
(3)  画像認証

ログイン画面に画像上に書かれた文字を入力させる画面を表示できます。画像上の文字については英数字以外に、ひらがなを指定することができますので、海外のハッカーはより浸入することが困難になります。

(4)  ログインページ変更

通常、ログインページのURLはルート配下の決まったディレクトリ、決まったファイル名にあります。このURLをわかりにくいディレクトリ名に変更できますり

(5)  ログイン詳細エラーメッセージの無効化

通常はログインに失敗すると分かりやすいメッセージを表示してくれるのですが、あまり親切すぎるとハッカーに対しても余計な情報を与えてしまう心配があります。

そこで、こちらの機能ではログインエラー時のメッセージをいつも同じにして、ハッカーに対してヒントを与えないようにします。

(6)  ログインロック

繰り返しログインに失敗したユーザーを一定時間、ロックしてくれる機能です。例えば、一つのIDに対して何回もパスワードを入れ繰り返すような攻撃に対して強い効果があります。

(7)  ログインアラート

こちらをオンにすると、管理画面に誰かがログインした時にメールで教えてもらうことができます。もしも見知らぬユーザーがログインした場合はいち早く知ることができますので、被害を軽減できる可能性があります。

(8)  フェイルワンス

一回目のアクセスでは例えIDとパスワードの組み合わせがあっていたとしても、必ずエラーにしてしまいます。例えばハッカーがリスト攻撃をしている時に、例えIDとパスワードの組み合わせがあっていたとしてもエラーリターンするのです、リスト攻撃が行いにくくなります。

(9)  ピンバック無効化

ピンバックはリンクが貼られたことを通知する機能です。この機能を悪用して大規模攻撃の踏み台になった例もありますので、ピンバック機能を無効化してしまいます。

(10) WAFチューニングサポート

Webアプリケーションファイアウオールを利用している時に使う項目です。私はWAFを使っていませんので、オフにしてあります。

このように機能個々にオンオフをすることができるのがとても便利です。

Jetpackプラグイン プロテクト

30種類以上の機能が詰め込まれているJetpackというプラグインの中に、プロテクトという機能があります。この機能は優れもので、このプロテクト機能を使っている利用者のログインに失敗した怪しいアクセスの情報を集めて、その特定のIPアドレスで他のサイトでログインを試みても弾いてしまうという機能を持った機能です。

この機能もオンにしておきました。

海外IPアドレスアクセス制限

さくらインターネットの機能なのですが、海外IPアドレスアクセス制限という機能があります。これをオンにすると、海外から、さくらインターネットの該当ホームページスペースへのアクセスが拒絶されるようになります。

こちらのブログのように日本語で書かれていて、海外からのアクセスはほとんど見込めないような場合は、さくらインターネットのコントロールパネル上で、海外IPアドレスアクセス制限をオンにしてしまっても良いのではないかと思います。

ただ、自分が海外出張の最中はサイトをメンテしたり、新しい記事の投稿ができなくなったりしますので、そこだけは注意要です。

スポンサーリンク



シェアする

フォローする

スポンサーリンク

スポンサーリンク