あなたは大丈夫?WordPressのセキュリティ対策ちゃんとやっていますか?Limit Login Attemptsの使い方

はじめに

WordPressを使い始めて4年程経つのに、未だにわからないことがいっぱいあります。どうも、なっち(@bboy_nacchi)です。

皆さんは、ブログのセキュリティー対策ちゃんとしていますか?よくわからないから後回しでもいいや〜とか思っていたりしませんか?

ミスターX
どうせ、あまり読まれてないからセキュリティーなんて気にしなくてもいいと思うんだよね…

と思っているあなたは要注意です。まずは、こちらの画像を御覧ください。

Take care security measures wordpress1

この画像は、WordPressのとあるセキュリティ用プラグインを経由して、3月11日に僕の元に届いたメールの一部です。 件名を見ると、「Too many failed login attempts」とあります。つまり、ログインの失敗を検知して送られてきたメールです。

そして、注目してほしいのはそのメールの数。数が多すぎて画像には表示出来ていませんが、午前1時18分〜午前1時58分の間に148件ものメールが届きました。多いときで、1分に最大5回もの不正ログインが試みられています…Σ(´∀`;)

ミスターX
148回!?恐ろしすぎる…でもそれだけPV数のある人気サイトなんじゃないの?
なっち
そう思って頂けるとありがたいんですが、僕が運営するこのブログは、月間PV数が約30000PVの弱小ブログなんですww
ミスターX
え…30000PVっていうとそんなに珍しい数値ではないよね。そこまで人気があるブログだとは思えないのに、なんで…?
なっち
そんなにはっきり言わなくてもいいじゃないかww

ということで今回は、まだまだPV数の少ない小規模ブログでも、セキュリティー対策はしっかりしていたほうがいいよというお話です。

あなたは大丈夫?Wordpressのセキュリティ対策ちゃんとやっていますか?Limit Login Attemptsの使い方

Take care security measures wordpress2

不正ログインの対象となったと考えられる要因

兆候は以前からあった

実は、僕のブログに対する不正なアクセスは以前からあることを自覚していました。この画像がその証拠です。
Take care security measures wordpress3

これは、当ブログに寄せられたスパムコメントの画面です。注目してほしいのはその数。なんと531件ものスパムコメントがあります。しかも、その95%があるひとつの記事に対して寄せられたスパムコメントなんです。ちなみに殆どが海外から(外国語)の書き込みです。

スパムコメントなんて、どんなブログでも寄せられるので、これだけで不正ログインの対象になっていた予兆という判断はあまいかもしれません。でも、1つの記事に対してだけコメントが来るなんておかしいと思いませんか?

特定の記事にだけスパムコメントが来ると思われる原因

スパムコメントの対象となっている問題の記事。実は、ツイッターで定期的にシェアしていただいているものなんです。(URL等はあえて伏せさせていただきます。)

そしてこの記事は、検索流入は殆ど無い(上位に表示されていない)記事なんです。そんな人気のない記事をわざわざスパムコメントの対象にするでしょうか?

ということで僕は、このスパムコメントの原因は、ツイッターによるものではないかという仮説を立てました。

そして、不正ログインの対象になった理由は、

  • ツイッターで定期的にシェアされている=人気の記事
  • 人気がある=乗っ取れ(パクれ)ば、メリットがあるかもしれない
  • セキュリティもあまそうだし、パスワードを片っ端から試してみよう。

と悪意のある人に思われてしまったのではないのかと…

WordPressのセキュリティ対策をしっかりやろうと思った

前述したのはあくまで仮説です。ただ重要なのは、原因を追求することではなく、ユーザIDやパスワードを解析され、サイトの改ざんやコピーされるという重大な被害を抑えること。

月間約30000PVのまだまだなブログですが、今後流入が増えた場合は、その被害は大きくなること間違いありません。問題は、大きくなって対処できなくなる前に解決しようと思い、セキュリティ対策をすることにしました。

WordPressの不正ログイン対策には、「Limit Login Attempts」を使うべし!

WordPressを乗っ取られたり、サイトがコピーされてしまう原因は2つ考えられます。

  1. ウィルスやフィッシングサイトなどにより、ユーザ名とパスワードが盗み取られる
  2. 総当り攻撃によって、ユーザ名とパスワードが解析される

前者の場合は、ウィルス対策ソフトを導入したり、怪しいと思われる(フィッシング)サイトでは情報を入力しないという対策が考えれます。

今回僕が紹介する対策は、後者に対する対策。正しいパスワードに行き着くまで、何度もログインを試みてパスワードを盗み取る総当り攻撃に対する対策です。

Limit Login Attemptsとは

Limit Login Attemptsとは、ログイン失敗回数を制限できるWordpressのプラグインです。指定回数以上ログインに失敗すると、対象のIPアドレスからは、暫くの間(20分間など)ログイン画面へアクセス出来ないように制限がかけられます。

また、IPアドレスのホワイト&ブラックリスト機能があるので、対象のIPアドレスを追加することで、そのIPアドレスからはログイン画面にアクセス出来ないように制限できます。

Limit Login Attemptsでできること
  • ログイン失敗回数の制限
  • ロックする時間
  • ロック解除までの時間
  • ホワイトリスト&ブラックリスト

その他にも細かな設定はできますが、基本的にはこの部分を好みで変更することになると思います。

Limit Login Attemptsのインストール

「プラグイン」→「新規追加」を選択し、「Limit Login Attempts」を検索して「今すぐインストール」を選択します。

Take care security measures wordpress4
僕はインストール済なので、上の画像では表記が異なっています。

インストールが完了したら、Limit Login Attemptsを有効化します。

Limit Login Attemptsの使い方(設定方法)

「設定」→「Limit Login Attempts Settings」を選択すると、Limit Login Attemptsの細かな設定ができます。基本的に初期設定で問題がありませんが、よりセキュリティを強化したい場合は、リトライ可能回数を減らしてもいいでしょう。

Take care security measures wordpress5
Limit Login Attempts設定方法
allowed retries リトライ可能回数を設定
minutes lockout ロックされる時間(分)を設定
? lockouts increase lockout time to ? hours ?回ロックされると、?時間ロックされる設定
hours until retries are reset リトライ回数が解除される時間
ホワイトリスト アクセスを許可するIPアドレス、ユーザ名を入力
ブラックリスト アクセスを拒否するIPアドレス、ユーザ名を入力
自分自信がログインにに失敗した場合もロックされるので、ログイン時は、パスワードを間違わないように十分に注意しましょう。

Limit Login Attemptsが正しく動作してるか確認してみよう

ログイン画面にアクセスし、あえて間違ったパスワードを入力してみます。すると「ユーザ名、またはパスワードが間違っています。残り3回ログインを試せます」との警告が表示されます。

Take care security measures wordpress6

失敗を繰り返すと次のような画面が表示され、ログインが一定時間(今回は20分)できなくなります。

Take care security measures wordpress7

アクセスが制限され、アカウントが一定時間ロックされると、Wordpressの「設定」→「一般」に登録してあるメールアドレスに、メールが届きます。それが、この記事の最初で紹介したこちらの画像です。

Take care security measures wordpress1

また、Limit Login Attempts Settingsの画面でも、次のようにログインに失敗した履歴を確認できます。

Take care security measures wordpress8

まとめ

  • たとえ人気がなくPV数の少ないブログでも不正ログインの対象となる可能性がある
  • 被害にあってから対処するのではなく、被害が合う前に危険性のある種を摘む
  • WordPressのパスワード総当り攻撃対策には、Limit Login Attemptsを導入すべし

当ブログは、まだまだアクセスが少ないので、仮にパスワードを抜き取られたとしても、大きな被害にあうことはないでしょう。

でも、パスワードが抜き取られたことを知らずにブログ運営を続け、人気が出てきたタイミングでブログが丸パクリされていたりしていた場合、せっかくの苦労が無駄になってしまう可能性があります。

コピーサイトを後から撃退することも可能ですが、コピーされる前に対策をしていたほうが、簡単なことは言うまでもありません。

撃退方法は、人気ブロガー&アフィリエイターのルカさんの以下の記事をご参照ください。WordPressでコピーサイトを撃退した対処法。あなたのブログも高確率でパクられてるかも…

自分は、まだブログを書き始めたばかりの初心者だから大丈夫!と油断して、セキュリティ対策をしていないと、いつの間にか不正ログインの対象になって、被害にあってしまうかもしれません。

あなたのブログは、あなたが築いた資産です。その資産を簡単に盗まれないように、事前にセキュリティー対策をすることを僕はおすすめします。

[amazonjs asin=”B00AJWEILQ” locale=”JP” title=”WORDPRESSセキュリティ対策 基本マニュアル”]

おすすめの記事

関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

ABOUTこの記事をかいた人

2014年10月〜2016年6月末までオーストラリアでワーキングホリデーを経験。外資系企業に務めながら、副業でブログやサイトを運営し、今後は地元沖縄を拠点にビジネス展開できるように計画中。 ダーツ、カメラ、写真、散歩、ブレイクダンスとやたらと多趣味の変わった人。