完全図解!スターサーバーでWordPress完全マニュアル セキュリティ編

WordPressのセキュリティ対策 ブログ運営
photo by Yuri_B
2022.11.23

今回は WordPress のサイバー攻撃対策です。

おばちゃんのブログには、わざわざ乗っ取るような価値はないわよ?

いえ、中身のないブログでもサイバー攻撃の踏み台に使えるんです。

……笑顔で心をえぐってくるわね。

WordPress は世界中で広く使われているシステムです。

だからこそ自動的に乗っ取りを行うプログラムを使えば、数打ちゃ当たる戦法で獲物も引っ掛かるので標的になりやすいのです。

簡単に乗っ取られないようにセキュリティを強化しましょう。

SiteGuard プラグインを紹介します。

SiteGuard WP Plugin

WordPress に11個の機能を追加し、総当たり攻撃(ブルートフォースアタック)に備えます。

インストール

WordPress の管理画面を開いてください。

WordPressの管理画面のプラグイン」にある「新規追加」をクリックする
  1. 左メニューの「プラグイン」>「新規追加」をクリックする。
  2. [キーワード]に「SiteGuard」を入力する。
  3. [今すぐインストール]ボタンをクリックする。
SiteGuard WP Pluginの「有効化」ボタンをクリックする。
  1. 続けて[有効化]をクリックする。

インストールが完了するとメニューに「SiteGuard」の項目が追加されます。

WordPressの管理画面にSiteGuardの項目が追加されている。

たくさん項目があるわね。

管理ページアクセス制限

SiteGuardの管理ページアクセス制限の画面。
  • デフォルトのまま[OFF]にしておく。

24時間経過すると再ログインを要求するようになります。

この機能を ON にすると、動作に支障が出るプラグインがあるそうなので、対処に自信がなければ OFF にしておきましょう。

もちろん OFF よ!

ログインページ変更

SiteGuardのログインページ変更の画面。
  1. ログインページ名を変更する。

ログインページの URL(/wp-login.php)を変更します。

デフォルトの login_<5桁の数> のままだと総当たり攻撃に弱いので、英数字の組み合わせ等に変更した方がよいでしょう。

あたしは login_qQK6dne8 にしたわ!

  1. 「管理者ページからログインページへリダイレクトしない」にチェックを入れる。
  2. 「変更を保存」ボタンをクリックする。
注意

変更後のログインページの URL は、必ずブックマークしたり、メモしたりしておきましょう。

画像認証

SiteGuardの画像認証の画面。
  • デフォルトのまま[ON]にしておく。
ログイン時に平仮名を4文字入力する項目が追加される。

以下のページに画像認証が追加されます。

  • ログインページ
  • コメントページ
  • パスワード確認ページ
  • ユーザー登録ページ

文字の種類は、海外からの攻撃が多いので「ひらがな」のままでよいでしょう。

手間がかかるようになる分、突破されにくくなります。

ログイン詳細エラーメッセージの無効化

SiteGuardのログイン詳細エラーメッセージの無効化の画面。
  • デフォルトのまま[ON]にしておく。

WordPress はログインに失敗すると、失敗原因を詳しく表示します。

エラー内容の詳細を表示しなくなる。

敵にヒントを与えることになるので、エラー内容にかかわらず同じメッセージを表示するようにします。

ログインロック

SiteGuardのログインロックの画面。
  1. 「期間」は「30秒」を選択する。
  2. 「ロック時間」は「5分」を選択する。
  3. 「変更を保存」ボタンをクリックする。

同一接続元からの連続したログイン失敗を検出して、ログイン機能を一定時間停止します。

デフォルトの設定「期間:5秒、回数:3回、ロック時間:1分」だと、まだ ログイン試行×2回+5秒休憩 のサイクルで連続攻撃できます。

これを ログイン試行×2回+30秒休憩 の長いサイクルにして攻めづらくしています。

ログインアラート

SiteGuardのログインアラートの画面。
  • デフォルトのまま[ON]にしておく。

ログインがあると、すぐにユーザー宛にメールが送信されます。

フェールワンス

SiteGuardのフェールワンスの画面。
  • デフォルトのまま[OFF]にしておく。

正しいユーザー名とパスワードを入れても、1回目は必ずログイン失敗にします。

漏洩したユーザー名とパスワードを使われると、1回で通過されてしまいます。このリスト攻撃への対策です。

ログインのたびに、2回も入れなあかんって、めんどくさ過ぎるやろ。

「ログインページ変更」してれば OFF でもいいかと。

XMLRPC防御

SiteGuardのXMLRPC防御の画面。
  • デフォルトのまま[ON]にしておく。

XML-RPC を利用するプラグインがあるので、ピンバック機能だけ無効化します。

XML-RPC(XML Remote Procedure Call)

拡張可能なマークアップ言語 XML で書かれたデータを他のコンピューターへ送って処理を依頼する際の規格。

WordPress には、この XML-RPC を用いたピンバック機能がある。

ピンバック(Pingback)

記事中に他サイトの URL を掲載したときに、その URL のサイトへ自動的に「あなたの記事へリンクを張ったよ」と通知する WordPress の機能。

通知を受けたサイトが承認すると、相手の記事にこちらの記事へのリンクが載り、相互リンクが成立する。

DDoS攻撃(Distributed Denial-of-service attack)

分散型サービス妨害攻撃。読みは「ディードスこうげき」。

複数のコンピューターから過剰なアクセスやデータを送って、ウェブサイトやサーバーに過剰な負荷をかけ、サービス継続を妨害するサイバー攻撃。

この DDoS攻撃に WordPress のピンバック機能が悪用される事象が発生している。

ユーザー名漏えい防御

SiteGuardのユーザー名漏えい防御の画面。
  1. [ON]をクリックする。
  2. 「変更を保存」ボタンをクリックする。

WordPress を使ったウェブサイトの URL の末尾に /?author=<ユーザーID> を付けてアクセスするとログイン時に使用するユーザー名が表示されてしまいます。

サイトアドレスの末尾に/?author=<ユーザーID>を追加すると、ログインIDが表示されてしまう。

これを防止する機能です。

REST API

WordPress の外部からウェブサイトと情報のやりとりができる仕組みのこと。

これを利用してユーザー名を取得することもできる。

無効化してしまうと、支障が出るプラグインもあるので要注意。

更新通知

SiteGuardの更新通知の画面。
  • デフォルトのまま[ON]にしておく。

WordPress、プラグイン、テーマのバージョンアップ情報が出ると、ユーザー宛にメールが送信されます。

実際にバージョンアップするときは、バックアップしてからやったほうがいいですよ。

WAFチューニングサポート

スターサーバーは WAF に対応していないので[OFF]のままにしておきます。

機能が多いから、設定するだけでも大変だったわね。

お疲れさまでした。

タイトルとURLをコピーしました