WordPressで作った自分のウェブサイト編集画面に入る手順は以下の通りです。
- ログイン画面を表示させる
- ログインIDを入力する
- パスワードを入力する
(1)のログイン画面の表示ですが、これがWordPressの初期設定のままだと簡単に表示させることができます。WordPressのログイン画面は、ウェブサイトのドメイン名に規定の文字列を追加するだけです。ということは見ているURLの後ろに既定の文字列を追加するだけなので、誰でも手軽にアクセスできてしまいます。
自分自身で管理するウェブサイトをWorddPressで作るにあたり、ネットで調べると「まずセキュリティ対策を」とのことでした。そのためにログイン画面のURLを変更することが進められていたので、わたしもセキュリティプラグインを利用してログインURLを変更しました。
セキュリティプラグインの特色
ログインURLを変更するタイプのセキュリティプラグインもたくさんあるようですが、ざっと調べてみて以下の通りでした。
iThemes Security
・選んで適用するだけで簡単にセキュリティ設定ができるテンプレートが6種類
・2要素認証
・パスワード要件– ユーザーのパスワード ポリシーを 1 分以内に作成して適用
・reCAPTCHA (Pro) – 悪質なボットが Web サイト上で不正行為を行うのを阻止
・パスワードレス ログイン(Pro) – 2要素認証および強力なパスワードでユーザー アカウントを保護しながら、実際のユーザーはマウスをクリックするだけでログイン可能
・ログインデバイス特定(Pro) – 使用するデバイスを特定
Login rebuilder
・wp-login.php を一意の名前を持つログイン ページに変更
・管理者専用のログイン ページを作成し、他の権限を持つユーザーのログインページと分離する
・メールアドレスによるログインを無効にする
・管理者がログインすると、サイト管理者にメールで通知が送信される
等
WPS Hide Login
・軽いプラグインで、簡単で安全にログインフォーム ページの URL を好きに変更
・wp-admin ディレクトリと wp-login.php ページへの直接アクセスが不可にできる(プラグインを無効化すればURLは元通りに復元可能)
・ブルートフォース (総当たり) 攻撃を防止できる等の拡張機能あり
All In One WP Security & Firewall
・ログイン失敗を繰り返す接続元をロックアウト(ロックアウトされたすべてのユーザーのリストを表示)
・利用者のアクティビティのレポート(ユーザー名、IP アドレス、ログインおよびログアウト日時、アクティビティ内容)
・現在ログインしているユーザーのリストや失敗したすべてのログイン試行のリストを表示
・強制ログアウト(ログインできる時間を設定し、その時間が経過したすべてのユーザーを強制的にログアウト)
・2 要素認証
・ブルートフォース (総当たり) 攻撃を防止
等
【追記】以下のプラグインも追加しておきます。
・Wordfence Security(リアルタイムのトラフィック分析、ファイアウォール、スパム対策、一般的なハッキング攻撃からの防御機能)
・Sucuri Security(ウェブサイトのセキュリティの監視、インシデント検出、悪意のあるアクティビティの通知、ファイアウォール、アンチマルウェアスキャン、DNS監視機能)
・Jetpack(ダウンタイム監視、スパム対策、ブルートフォース攻撃防止、自動プラグインアップデート機能)
コメント