【セキュリティ】WordPressの認証をSite Guard WP Pluginで強化する

site_guard_wp

WordPress利用の際には必須のセキュリティ向上プラグイン

「Site Guard WP Plugin」は、手軽に実装できるWordPress利用の際には必須のプラグインです。この記事では、対応するセキュリティリスクと、プラグインの実装方法について説明いたします。

Site Guard WP Pluginが対応するセキュリティリスク

Site Guard WP Pluginは、主に「ログイン画面からの認証突破」のリスクに対応します。そもそもWordPressに関する脆弱性は、

  • プラットフォームの脆弱性を突かれる
    (PHPやWordPress、テーマやプラグインに依存する脆弱性)
  • 認証を突破される

の二種類に大別されます。そのうち、Site Guard WP Pluginは後者の認証に関わるリスクのほとんどをカバーしています。またプラグイン依存の脆弱性というものも存在しますが、このSite Guard WP Pluginは厳しいセキュリティチェックを通過した上で公開されているので、インストールするのも安心です。

Site Guard WP Pluginがセキュリティを向上させる仕組み

いちいち全部の機能をあげてるとキリがないので、代表的なものをあげておきます。

ログインURLをwp-login.phpでないものに変更

攻撃者は、特定の1ターゲットを狙うのではない限り、ロボットを用いて無差別に攻撃してきます。ロボットを用いる場合は、攻撃パターンがインプットされているわけですから、認証突破を試みる場合はまずログイン画面であるwp-login.phpにアクセスします。

ログイン画面上にアクセスしてしまえば、ログインに成功するまでランダムにIDパスワードを入力したり、ログインフォームを回し続けることでサイトの負荷を上げたりすることが可能になってしまいます。

そこで、そもそもログインURLをwp-login.phpじゃないものにすれば良いじゃん、という発想で生まれたと思われる機能です。

  • 適用前ログインURL
    ドメイン/wp/wp-login.php
  • 適用後ログインURL
    ドメイン/wp/login_******(←ランダム文字列)
inform_login_page_mail_from_wordpress

こんなメールが届きます

「え、そんなことされたらログインできなくなるじゃん」と思うかもしれませんが、この機能を設定したタイミングでWordPressに登録したメールアドレスにログインURLが届くので安心です。一度ログインを確認したら、ブックマークに登録しておくことをおすすめします。

ログイン画面に文字画像認証を追加

さきほども書いたとおり、ロボットを使って攻撃する場合、文字画像認証を用いることはかなり効果的です(ディープラーニング技術などにより、100%確実にロボットに対応できるとは言い切れませんが)。またひらがなの文字認証であれば、フォームへの日本語入力の仕組みが必要なので、海外からの攻撃にはかなり有効に働くと言っていいでしょう。

ログイン通知、ログイン履歴表示

新規ログインのたびに、「〇〇さんが何時にログインしました」というメールが届きます。「え、私はログインしてないんだけど…」って場合はすぐにサイト改ざんの調査やパスワード変更などを検討しましょう。

Site Guard WP Pluginを利用する

site_guard_wp_plugin_in_pluagin_search

プラグインを検索すればすぐにヒットします

Site Guard WP Pluginの実装は実に簡単で、プラグイン名で検索して、該当のものをインストールするだけです。

デフォルトでも相当にセキュアなので、この記事をご覧の方はとりあえずインストールしてみてはいかがでしょうか。

複数人でサイトを運営されている場合は、ログイン画面が変わると運用に支障が出るかもしれないので、その点のケアは必要です。

また、前回の記事(【セキュリティ】WAFをさくらのレンタルサーバーで利用する)をご覧になっている方は、WAF(Web Aplication Firewall)を設定してらっしゃると思いますので、その場合はWAFのチューニングをONにしておきましょう。もしWordPressに関わる操作で通信が制限されてしまった場合、除外ルールを調整することで制限を回避することができます。

まとめ

  • Site Guard WP PluginはWordPress運用に必須といっても良いプラグイン
  • Site Guard WP Pluginは認証突破のリスクを広くカバーする
  • プラグイン自体が強固なセキュリティ対応をされているのでインストールするのも安心

WordPressのセキュリティ対策の記事は今後も追加予定です。