皆さん、ブログの基盤は何を使っていらっしゃいますでしょうか。
今回はWordPressを選択している方が対象となりますが、どこの基盤にせよセキュリティは万全でしょうか。
知名度も高く初心者にも使いやすいですが、それだけに攻撃者が標的にしやすいことも忘れてはいけません。
特にWordPressは初心者でも参入しやすいため、おろそかにしがちなセキュリティについて語っていこうと思います。
エンジニア視点だと「当たり前だよ!」と感じる事ではありますが、
といった人で案外抜けている方もいらっしゃるかと思います。
IT知識はブログを始めたくらい、という方は是非見て頂きたいです。
WordPressへの総当たり攻撃
色々な攻撃方法があると思いますが、WordPressで特に気を付けてほしいのは総当たり攻撃への対策です。
総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。 力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
Wikipedia
WordPressのログインIDが簡単にわかる?
まず下記のトップページURLを、自分のブログサイトのURLに置き換えて試してください。
トップページURL/?author=1
表示が変わって出てきたでしょうか?
WordPressのデフォルト設定のままの人は、下記のようにIDが表示されてしまいます。
トップページURL/author/ログインID
上記理由は一例ですが、パスワードだけ設定している人は乗っ取られる可能性があります。早急に次の項目から手を打ちましょう。
対策プラグイン
各対策について、以下を挙げますのでご参考にどうぞ。
基本的にプラグインを有効化して、簡単な設定をするだけでできてしまいます。
Edit Author Slug
まずは大前提、前項でログインIDが出てきてしまった人の対策としてはこちらです。
プラグインを有効にしたら、
ユーザー > あなたのプロフィール > Edit Author Slug 内の投稿者スラッグ
この投稿者スラッグを、ログインIDと別のものに変えましょう。
変更を適用したら、もう一度先ほどのURLで確認します。
トップページURL/author/設定した投稿者スラッグ
となっていれば完了です。
Limit Login Attempts Reloaded
こちらも総当たり攻撃対策として有効な手段となります。
何回ログインを失敗したら、何時間かロックする(ログインできなくする)
といった代物です。
こちらもプラグイン導入後、
- 設定
- Limit Login Attempts
で設定画面に遷移できます。
Settingsタブを押すと、下記画面にてロックの条件を決定することができます。

あまり設定を厳しくしてしまうと、自分の誤入力でロックをかける可能性があります。ある程度余裕を持たせた設定がおすすめです。
レンタルサーバーによっては、サーバーパネルで設定ができる
私はエックスサーバーを使用していますが、サーバーパネルにて設定できるものもあります。
ご自身が利用しているサーバーに設定があるか確認していただいて、あった場合は是非利用していただきたいです。
無い場合はLimit Login Attempts Reloadedのプラグインで大丈夫です。
エックスサーバーの場合(それ以外の方は読み飛ばしてください。)
①サーバパネルを開き、ログインする。
②ログインをしたら、「WordPress」欄の「WordPressセキュリティ設定」を押下
③ドメイン選択画面にて、自分のブログページのドメインを選択する
④設定画面が現れるので、それぞれONか確認する
WordPressへの二段階認証(二要素認証)設定
個人情報を入れているスマホアプリなど、二段階認証を目にする機会は多くなってきたのではないでしょうか。
一般的知名度としては2019年、セブンpay事件でも有名になりましたね。
社長が二段階認証を知らなかったという事で話題となるほど、セキュリティ面では大きな役割を果たします。
騒動を知りたい方は下記外部リンクへどうぞ。
念のため、ワンタイムパスワードの定義を載せておきます。
ワンタイムパスワードを直訳すると「一度きりのパスワード」です。一定時間ごとに発行され、文字通り一度きりしか使えないパスワード、およびそれを採用した認証の仕組みのことです。
https://japan.norton.com/one-time-password-9101
ログインの時にワンタイムパスワードを確認しないといけないので、そのワンタイムパスワード発行元の管理が重要になります。
次項から、二段階認証設定用のプラグインを紹介します。
Two-Factor
このプラグインをインストールすると、二段階目の認証を追加するだけでなく、認証方法を任意のものに切り替えることができます。
また、プラグインインストール後、
ユーザー > あなたのプロフィール > Two-Factor設定
が追加されているか確認してください。

上記キャプチャに表示されている通り、4つの認証方法から選択できます。
手順は以下です。
- スマホアプリ「Google Authenticator」をインストール
- 「Google Authenticator」を起動し、右上の「+」ボタン押下
- 「バーコードをスキャン」を押下
- Two-Factor設定内「時間ベースのワンタイムパスワード(Google 認証システム)欄に表示されているバーコードを読み取る
※上記④について:本記事掲載のキャプチャは設定済のためQRコードが表示されていませんが、未設定の場合表示されます。
これで設定は終わりです。
アプリ側にワンタイムパスワードが表示されたら成功となります。
アプリをインストールした端末が利用できなくなったりすると、ワンタイムパスワードを発行できなくなる可能性があります。扱いには十分ご注意ください。
まとめ

いかがでしょうか。
公式で導入フローがパッケージでまとまってればいいのですが、自分で調べて設定しなければいけないという点で、独自で構築した方は見逃している可能性があります。
もう知ってるよ!という方が多いに越したことはないですが、初耳の方がいらっしゃったらこれを機に早急に対応頂ければと思います。
・総当たり攻撃対策はしっかりとすべき
・二段階認証も設定しよう
・ブログは資産。あなたの価値に見合った強固なセキュリティを。
お問い合わせはこちら↓
