Word Pressのログイン画面のセキュリティを向上するプラグイン「Site Guard」をご紹介

2021.09.22　Posted by minagawa.h

その他

1826370_s Word Pressのログイン画面のセキュリティを怠っていると、悪意のあるユーザーから不正アクセスされ、サイトを乗っ取られる可能性があります。WordPressを運用するにあたってログイン画面のセキュリティ対策は必須といえるでしょう。

特にブルートフォースアタック（総当たり攻撃）とよばれる、IDやパスワードをあらゆる組み合わせでログインを試して不正アクセスを試みる攻撃には、事前の対策が必要です。

今回は、ログイン画面のセキュリティを向上させ、ブルートフォースアタックからログイン画面を守るプラグイン「Site Guard」をご紹介します。

1 Site Guardとは
2 Site Guardの主な機能の紹介
3 Site Guard導入の注意点
4 まとめ

Site Guardとは

Site Guardは、セキュリティ系のプラグインの中でも、ログイン画面のセキュリティに特化したプラグインです。そのため、「ログイン画面へのブルートフォースアタックを回避したい」や「管理画面への不正アクセスのリスクを最小限に抑えたい」という場合は、Site Guardによるリスク対策が非常に有効です。

Site Guardは、だれでも無料で使用することができます。無料で個人情報の漏えいやサイトの改ざんによる問題発生の可能性を抑えられるため、ログイン画面のセキュリティ対策をしていない方は、導入を検討してもよいでしょう。

Site Guardの主な機能の紹介

Site Guardをインストールすると、どのような機能がWeb上のリスクから守ってくれるのでしょうか。次に、Site Guardをプラグインするにあたって知っておきたい主な機能をご説明します。

ログイン画面のURLの変更

ログイン画面を初期設定のURL（/wp-adminや/wp-login.phpなど）にしておくと、悪意のあるユーザーにログイン画面がばれやすく、ブルートフォースアタックによる攻撃を受けてしまいやすくなります。

ブルートフォースアタックは、解読が非常に得意です。たとえば、4ケタのバスワードを設定した場合、たった約2分で簡単に解読できます。Site Guardでは、決まった形式になりがちなログインURLを変更することができるため、不正アクセスを防ぎやすくなります。

ログイン失敗の多いIPの制限

Site Guardは、短時間で何度もログインに失敗するユーザーをブロックすることができます。たとえば、ブルートフォースアタックで管理画面へのアクセスを試みる悪質なユーザーは、ログイン画面で何百回、何千回とログインしてきます。

このような悪質な動きをSite Guardは素早く察知し、不正アクセスを試みるIPアドレスを制限します。このIP制限の機能はブルートフォースアタックによる不正アクセスや情報漏えいのリスクを大きく下げる効果が期待できます。

ログインアラート

Word Pressでログイン情報を把握しておきたい方もいるでしょう。Site Guardには、ログインアラート機能が搭載されているため、ログインがあったときに、管理者にメールを送信できます。

たとえば、自分がログインしていないのに、ログインアラートが届いた場合は、だれかが不正アクセスを試みている可能性があります。不正なログインがあった場合は、素早くログインの動きを把握できるため、ログイン情報を管理したい方に有用な機能となっています。

画像認証機能

ログイン画面への攻撃は、自動プログラムによるものです。そのため、Site Guardでは文字列を記載した画像認証によって、自動プログラムからの総当たり攻撃などを防ぐことができます。

また、画像認証は、「英数字」と「ひらがな」の認証があります。特にひらがなの認証にすることで、海外からの攻撃を防ぎやすくするのに有効です。

ログイン履歴

ログインアラートと関連する機能となりますが、ログイン履歴を見れば、ログインを失敗したユーザーやブロックされたユーザーなども含めて全てのユーザーのログインの形跡を確認できます。ログインを試みたIPアドレスの確認や、ユーザーのブロックされた理由などが確認できるので、どのようなアクセスがあったかが明瞭になります。