WordPressのコアソフトウェアは本質的に安全ですが、あなたとあなたのサイトのユーザーが選択したユーザー名とパスワードは、必ずしも安全とは限りません。
そのため、不正アクセスからサイトを安全に保ちたいのであれば、WordPressのセキュリティ、特にwp-adminダッシュボードに関するセキュリティを強化する必要があります。
この記事では、ログイン画面とダッシュボードのセキュリティ確保が不可欠な理由について説明します。
そして、4つの異なる方法を使用してWordPressのセキュリティを強化する方法をお教えします。
なぜWordPressのログイン画面とダッシュボードを安全にすることが重要なのか
ログインの安全性は、すべての WordPress ウェブサイトにとって重要です。
ハッキングについて考えるとき、多くの人はハッカーが洗練されたツールやコンピューターの「魔法」(映画に出てくるような)を使ってサーバーに侵入することを想像します。
しかし、多くの場合、攻撃者は他の人と同じようにウェブサイトやアカウントに侵入します。
つまり、何らかの方法であなたのサイトのアカウントのログイン認証情報にアクセスするのです。
プラグインの脆弱性に続いて、ブルートフォース攻撃とパスワード盗難が、ハッカーがサイトにアクセスする最も一般的な方法の2つで、ハッキングされたWordPressサイト全体の20%を占めています。
WordPress のログインシステムは本質的に安全ですが、ハッカーは以下の方法でアクセスすることができます。
- ユーザー名とパスワードの組み合わせを、有効なものが見つかるまで繰り返し推測する(これはブルートフォース攻撃と呼ばれます)。
- 他の方法で既に有効なログイン情報を盗む。
しかし、WordPressのログインページやダッシュボードのセキュリティを強化すれば、このような攻撃を未然に防ぐことができます。
WordPressのセキュリティを強化する4つの方法
以下の方法は、WordPressのダッシュボード領域を安全に保つのに役立ちます。
より良い結果を得るために、これらを組み合わせて使用することもできます。
これらの方法の中には、WordPressのコアファイルに小さな変更を加える必要があるものがあることに留意してください。
その過程で何か問題が発生するリスクは小さいですが、それでも念のため、事前にウェブサイトをバックアップしておくのが賢明です。
1. IPアドレスのホワイトリスト登録
WordPress では、.htaccess ファイルを使用して IP アドレスをホワイトリストに登録することができます。
場合によっては、特定のIPアドレスのみがダッシュボードにアクセスできるようにしたいことがあります。
このプロセスはホワイトリストとして知られており、非常に効果的です。
その理由を説明しましょう。
- ダッシュボードを使用するユーザーを選択することができます。IP は一意であるため、この方法は少人数のユーザー(固定アドレスを持つユーザー)で作業する場合に最適です。
- IPを複製することはほぼ不可能です。IPの複製はほぼ不可能です。誰かがチームメンバーのコンピューターにアクセスしない限り、簡単にサイトに侵入することはできません。
- 実装が簡単です。.htaccessファイルに数行のコードを追加するだけなので、非常に簡単です。
この方法については、以前、記事全体を割いて解説しましたので、もしこの方法を導入したい場合は、そちらをご覧ください。
2. ユーザー名とパスワードを追加して、wp-admin ディレクトリを保護する
2.追加のユーザー名とパスワードで wp-admin ディレクトリを保護する WordPress に関連しないログイン要求を追加して、追加の保護レベルを得ることができます。
ダッシュボードにアクセスできる人を手動で選ぶ以外に、ダッシュボードがロードされる前に追加の認証情報を要求することができます。
つまり、WordPressではなく、ホスティングパネルに結びついた新しいユーザーログインを作成することができるのです。
このテクニックは冗長に聞こえるかもしれませんが、その理由は以下のとおりです。
- ダッシュボードを安全に保つことができます。攻撃者がチームメンバーのアカウントにアクセスした場合、彼らは2つ目の認証情報を見つけ出す必要があります。
- パスワードは定期的に変更することができます。あなたが余分なマイルを移動したい場合は、チームメンバーのダッシュボードの資格情報に関連付けられたパスワードを定期的に変更し、それらのパスワードを共有しないように思い出させることができます。
このようなパスワードを追加するには、wp-adminフォルダでcPanelのPassword protect the directory機能を使用することができます。
ここで使用するパスワードは、WordPress自体にログインするために使用するパスワードとは異なるものでなければならないことに留意してください。
そうすることで、セキュリティのレイヤーを追加することができます。
3. ログイン画面に2ファクタ認証を追加する
2ファクタ認証は、ログインプロセスに追加のセキュリティ層を追加するものです。
2ファクタ認証は、パスワードと一緒に、ログインプロセスに追加の認証要素を追加するシンプルなテクニックです。
二要素認証は、テキストメッセージ、電子メール、またはアプリで送信されるコードの形式をとることが多く、ユーザーはサイトにアクセスするためにパスワードと一緒に入力する必要があります。
WordPressのセキュリティを強化するために、この手法の利用を検討すべき理由は以下のとおりです。
- パスワードだけよりも安全です。ほとんどの場合、攻撃者は2ファクタ認証コードを受け取るためにあなたのデバイスに物理的にアクセスする必要があります。
- 導入方法はいくつかあります。2ファクタ認証は最近かなり普及しているので、さまざまなツールや方法を用いて実装することができます。
WordPressに関しては、WordPressの2ファクタ認証の設定方法について完全なガイドを書きました。
4. ログインの試行回数を制限する
ログインの試行回数を制限することで、ログインの安全性は飛躍的に高まります。
ログイン画面で何度もアクセスを試みることを許可すると、セキュリティの弱点が残ることになります。
実際には、一定期間内に何度でもログインを試みることができるように制限する方が、はるかに安全です。
なぜこの方法が有効なのか、その理由を説明しましょう。
- ブルートフォースアタックを防ぐことができます。ブルートフォース攻撃を防ぐことができます。ユーザーが何度もログインを試みることができれば、ハッカーやボットに正しいパスワードを見つけるまで新しいパスワードを試させることができます。
- 疑わしい活動に対応する時間を与える。ログインに失敗したことを通知するツールもあり、そのようなIPをブロックしたり、他の対策を講じたりする機会を与えてくれます。
このプロトコルは非常に人気があるため、多くのセキュリティ・プラグインで数分のうちに実装することができます。
Wordfenceのようなものを使えば、ログイン画面に安全なレイヤーをすばやく追加することができます(他にも多くの有用なセキュリティ調整もあります)。
結論
WordPressのセキュリティを強化する方法は、あなたが考えているほど複雑ではありません。
むしろ、利用可能なすべてのツールのおかげで、とても簡単なことなのです。
唯一の問題は、あなたのサイトでどのようなセキュリティ手法を使用するかということです。
ログイン画面とダッシュボードは攻撃のターゲットになりやすいため、最も効率的な方法は、ログイン画面とダッシュボードに重点を置くことです。
ここでは、WordPressの管理画面を保護するための4つの方法を紹介します。
-
- ダッシュボードにアクセスさせたいIPアドレスをホワイトリストに登録する。
-
- マスターパスワードでダッシュボードを保護する。
- 3.ログイン画面に2ファクタ認証を追加する。
- 4.Wordfenceなどを使って、ユーザーが試行できるログインを制限する。
WordPressのセキュリティを強化する方法について、何かご質問はありませんか?下のコメント欄で話しましょう!