サイトの収益化に成功し始めた頃に注意したいのが、「サイトの乗っ取り」です。ちょっとしたいたずら目的のものから、アフィリエイトサイトの競合潰しを目的とした本格的な乗っ取りまで細心の注意を払う必要があります。
サイトを乗っ取るにはいくつかの方法がありますが、不正ログインが最もメジャーな方法です。もちろん、初期段階でユーザー名やパスワードを設定し、不正ログインができない状態にしていると思いますが、それを破る方法がいくつか存在しています。
今回は、その代表的な方法「ブルートフォースアタック」の脅威と、その対策としておすすめのセキュリティプラグインを紹介させて頂きます。
●ブルートフォースアタックとは?
不正ログインの方法として代表的な方法が「ブルートフォースアタック」です。
「ブルートフォース」という言葉は、「力ずくで、強引に」という意味を持っており、文字通り力ずくでログイン情報を解読するという方法です。効率の悪い方法ではありますが、時間をかければ正しいログイン情報を割り出せてしまいます。現在では最新の不正ログイン技術を使えば、毎秒3500億通りの総当りが可能という見解もあるため、ログイン情報を割り出されないように対策が必要になります。
WordPressには、このような不正ログインに対抗するためのWordPressプラグインが存在します。
それが「SiteGuard WP Plugin」です。
このプラグインは「JP-Secure」という企業様が開発したプラグインです。JP-Secure様は、主にウェブサイトのセキュリティソフトを販売している企業様で、さまざまな不正アクセス方法のデータをお持ちになっていますいます。
Webサイトだけでなく、サーバーを保護するソフトを販売しているなど、多くのパターンの不正アクセスに対して、さまざまなソリューションを持っている企業様です。
有料ソフトの販売が主ですが、「SiteGuard WP Plugin」は無料で使えるため、ぜひ導入しておきたいプラグインです。
●SiteGuard WP Pluginのポイント①ログインURLを変える
ブルートフォースアタックはプログラムによって行われる攻撃です。
プログラムはブルートフォースアタックをするにあたって、まず管理画面を開きます。WordPressの管理画面のアクセス方法は一律で「サイトURL + /wp-admin/」です。
SiteGuard WP Pluginは、このURLを変えることができます。つまり、ブルートフォースアタックを実行しようとするプログラムは管理画面にたどり着くことができず、不正ログインのためのブルートフォースアタックも実行できないのです。プラグインのため、導入は非常に簡単にできますが、最も初歩的で有効な対策です。
●SiteGuard WP Pluginのポイント②特定IPの指定時間のブロック
ブルートフォースアタックは短時間に大量のログインエラーを起こす行為とも言い換えられます。何度もトライアンドエラーを繰り返すことで正解のログイン情報を割り出す方法です。
つまり、指定回数以上の失敗をしたIPアドレスをブロックすれば、ブルートフォースアタックのプログラムを弾くことができます。
この機能はSiteGuard WP Pluginに搭載されています。ロックするまでのエラー回数などは指定することができるため、複数人でサイト管理をしている際にも「3~5回の失敗でロック」など柔軟な設定をすることが可能です。
●まとめ
いつものようにWordPressの管理画面をいじっていて、動作が重い日はありませんか?
実はそういう日はブルートフォースアタックを受けている可能性があります。
短期間に大量のログインエラーを引き起こすために、ブログ全体の動作が重くなるのです。不正ログインはプログラムを使った不正アクセス方法のため、無作為に実行することも可能です。
せっかく築き上げたWebサイトを傷つけないためにも、SiteGuard WP Pluginを必ず導入しておきましょう。
●SiteGuard WP Plugin
https://wordpress.org/plugins/siteguard/
引き続きZ.com for WordPressおよびZ.comの各サービスをよろしくお願い申し上げます。