WordPressの安全を守る為に。ブルートフォースアタックを防ぐ方法

はじめに

はじめまして。
何事にもリスク回避をしたいが為に、転ばぬ先の杖をがっつり頑丈に作りたい派のこったです。

弊社のホームページ作成では、機能性やお客様の使いやすさを考慮して世界的シェアのWordPressというCMSを使用しています。
しかし、シェア増加に伴い、WordPressを狙う悪質な攻撃も発生しています。

そんな状況の中ですが、安全にホームページを運用していく為に、
弊社が対応しているWordPressセキュリティ対策の一例をご紹介します。

今回は『ブルートフォースアタック』に対しての対応例の一部をご紹介します。

不正アクセス攻撃『ブルートフォースアタック』とは

参照元：ブルートフォース攻撃（WordPress Codex 日本語版）

簡単に説明すると、WordPressのログインディレクトリにアクセスし、ID/PASSを総当りで試す事で、
無理やりログインしようとする不正アクセス攻撃の事です。

不正にWordPressにログインされてしまうと、プログラムの書き換えや、ウイルスなどの悪意あるプログラムのダウンロードがされてしまう可能性があります。
安全にホームページを運用する上で必ず、セキュリティ対策をする必要があります。

プラグイン『All In One WP Security & Firewall』での対処法

『ブルートフォースアタック』の対処法の一つとして、今回は弊社でも使用している『All In One WP Security & Firewall』というセキュリティ対策プラグインを使った方法をご紹介します。

ダウンロード：All In One WP Security & Firewall

【対応1】ログインURLの書き換え

WordPressにログインする際には通常、

• https://○○○.com/wp-login.php
• https://○○○.com/wp-admin/

という、上記二つのURLからWordPressログイン画面を表示し、ID/PASSを記入する事で管理画面にログインできます。
このURLはデフォルトで共通となっており、攻撃の標的入口となってしまいます。

なので、入口をオリジナル記述に変更し、隠蔽する事で、
管理画面にアクセスさせず、不正ログイン攻撃の抑制につながります。

作業手順

1. 管理メニューから『 WPSecurity > Brute Force 』を選択
2. ［Enable Rename Login Page Feature］にチェックを入れる
3. ［Login Page URL］に任意の記述を入力　（例）login-gate　など
4. ［Save Settings］をクリックして保存

これで、WordPressへのログインURLは任意で指定したものに変更されました。

（例）https://○○○.com/login-gate/

※設定したURLは必ず忘れないようにブックマークをしておいてください。

【対応2】ログインロックの設定する

ID/PASSを総当りで何度もログインしようとする事を止める事ができます。
指定回数ログインに失敗すると、そのIPアドレス（回線）からは自動的に一定時間「ログイン禁止状態」にしてくれて、
ログイン表示画面も閲覧出来なくなり、不正ログインアクセスの連続攻撃を抑える事につながります。

作業手順

1. 管理メニューから『 WPSecurity > User Login > Login Lockdown 』を選択
2. ［Enable Login Lockdown Feature:］にチェックを入れる
   以下の設定を有効化するかどうか
3. ［Max Login Attempts:］に任意の回数を入力
   ブロックがかかるまでの試行回数
4. ［Login Retry Time Period (min):］任意の時間/分を入力
   指定時間内に3.で設定した回数ログイン失敗すると、IPアドレスをブロック
5. ［Time Length of Lockout (min)］任意の時間/分を入力
   ブロックされ、アクセス出来ない時間を設定
6. ［Display Generic Error Message:］にチェックを入れる
   ログインエラー時に、標準エラーメッセージを表示するかどうか
7. ［Instantly Lockout Invalid Usernames:］にチェックを入れる
   設定していないユーザー名でログイン試行した場合、即時ブロックする
8. ［Notify By Email:］にチェックを入れ、任意のメールアドレスを記入
   不正ログインがあった場合に設定したアドレスに通知が届くので、直ぐに確認がとれます

画像例では、

• ログイン時に、5分間の間に10回失敗すると60分間ブロックがかかる
• ブロック設定が掛かった場合に管理者にメールで通知が届く
• 存在しないユーザー名を入力すると即時ブロック

の設定となっています。

ログイン履歴は、
管理メニュー『 WPSecurity > User Login > Failed Login Records 』
から見る事が出来るので、不正なIPアドレスからのログインが無いかなどの確認も可能です。

まとめ

ざっくりとプラグイン『All In One WP Security & Firewall』をご紹介しましたが、まだまだ他の対策を設定する事が可能です。
また、今回ご説明した『ブルートフォースアタック』の対策方法は、WordPressセキュリティ対策内のほんの一部で、他にも対処すべき対応があります。

現在WordPressサイトを持っている、作成している方は、
まずは、ログイン用ユーザーIDとパスワードが簡易的なものに設定していないかどうかの確認からはじめてみてください。

WordPressを安全に運用していく為には、様々な角度から常に監視していく必要があります。
チームNext!でも継続してセキュリティ対策に取り組んでいきます。

それでは、石橋はアグレッシブにどんどこ叩いて渡りたい系こったでした。
お読みたいただきありがとうございました。