WordPressのセキュリティ対策に必須!ログイン攻撃からブログを守るプラグイン2つ

security様々なCMSが開発されている中でもダントツで人気、というかユーザー数が多いのがWordpress。利用者が多いことは色々なメリットもあるのですが、多いからこそ気を付けなくてはいけないこともあります。それはセキュリティ対策。

最低限、admin以外のユーザー名を使い、強力なパスワードを設定するくらいは、Wordpress本体のインストール時にほとんどの方がやっていると思います。
が、これだけで十分か、というと…十分じゃないかもしれない、というのが実のところ。
Wordpressのセキュリティ関連のプラグインが色々出ていて、使用者が多数いることからも、それが推し量れます。

セキュリティ対策は「備えあって憂いなし」のためのものですので、何かあってから「やっとけばよかった!」と後悔する前に、最低限の対策は施しておきましょう。

私も本当に今更ながらですが…先日設定しました。色んなプラグインが出ていますが、私が今回入れたログイン画面を守るための2つのプラグインをご紹介します。15分もあれば設定完了できますので良かったら使ってみてください。

何のためにログイン攻撃をするのか

どこかで「ブルートフォース攻撃」という言葉を見たことがあるかもしれません。これはログイン画面でユーザ名とパスワードを何度も変えながら総当たりでログインを試み、Wordpressを乗っ取ろうとする攻撃のことを言います。

簡単に言うと、あなたのサイトを乗っ取って悪用したい、というのがログイン攻撃をする主な理由のようです。乗っ取って何をするのか…、というと、サイトの内容を改ざんしたり、マルウェアの配布に使ったり迷惑メールの配信元にしたり・・・などといった「悪モノ」サイトとして利用されます。自分が育ててきたブログやサイトが他人によって悪用されるなんて許せないですよね!

なので、そんな悪用をされないためにログイン画面を守る必要があります。

ログイン画面を守る方法

ログイン画面を守る方法はいくつかあります。

  • adminというユーザー名を使わない(ある場合は変更するかそのユーザーを削除)
  • Webサイトにユーザー名が表示されないようにする(管理画面のユーザーのところから設定できます)

というのは絶対条件です。

(えっ、adminでログインしている?今すぐ変更してください!)

 

これに加えて

  • ログイン試行回数を制限する(短時間にログイン試行できる回数を減らして総攻撃から守ります)
  • wp-login.phpを他のファイル名に変更する(wp-login.phpを別のファイル名にすることで、ログイン画面自体へアクセスしにくくします)
  • 画像認証CAPTCHAを導入する(コンピュータによるログイン試行を防御)
  • 2段階認証(Basic認証、携帯電話番号の利用などで、ログインを2段階にして安全度を高めます)

などの方法があります。

 

今回はログイン画面のセキュリティを総合的に行ってくれるプラグインSiteguard WP Pluginを導入しました。

 

Siteguard WP Pluginでログイン画面を守る

プラグインのページ: http://www.jp-secure.com/cont/products/siteguard_wp_plugin/index.html

このプラグインでは以下のことができます。

  • ログインページ変更(wp-login.phpを他のファイル名に)
  • CAPTCHA(画像認証)の導入(ひらがな、または、英数字を選べる)
  • ログイン試行回数の制限
  • ログインアラートの送信

このほかに、管理画面へのアクセス制限や、Wordpress本体やプラグインを常に最新に保つために更新通知を管理者にメールで送るなどの設定も可能です。

日本人の方が作成されているプラグインなのでインストールすると、各設定項目に分かりやすい日本語の解説が付いてきます。それを見ながら設定すればOKです。デフォルトでOnになっているものだけでも十分でしょう。

 

Basic認証で二段階認証をする(プラグインなしでOK)

この方法も良く使われています。ログインファイル(wp-login.php)をパスワード保護する方法です。Basic認証をつけると、ログイン画面が開かれる前にブラウザのポップアップでユーザー名とパスワードの入力が必要になります。

プラグインなしで.htaccessに記述する方法でできるので、プラグインを増やしたくない方はこれがいいかもしれません。

参考: ログイン画面が危ない!WordPressの「wp-login.php」をBASIC認証でアクセス制限する方法

 

Basic認証は、投稿や固定ページにパスワード保護をかけたい場合は要注意

あまりないケースかもしれませんが、一つ注意点があります。投稿や固定ページでパスワード保護をかけると、パスワード入力後にBasic認証を求められる可能性があります(私はそうなりました)。特定の人だけにページを公開したい場合にパスワード保護をかけられますが、Basic認証で管理者用のユーザー名とパスワードの入力を求められるなんて困りますよね。。

これは投稿やページのパスワード入力後に

(SiteURL)/wp-login.php?action=postpass

が呼び出されているためのようです。

パスワード保護された投稿や固定ページを公開することを考えている方は、Basic認証との相性が悪いことを頭の片隅に入れておいたほうがいいと思います。

 

 

Edit Author SlugでURLからユーザ名を抜き取られるのを防ぐ

実はもう一つ抜け穴が…

これ、最近知ったんですが、結構衝撃でした。

 

管理画面からユーザーの設定画面で、サイト上の表示名をユーザー名以外にしても、ユーザー名(=ログインに使うやつ)がURLからばれてしまうらしいです。

 

どうするのかというと、

サイトの記事URL+/?author=1

と試しにブラウザのアドレスバーに入力してEnterを押してみてください。

 

なんと、URLに自分のログイン用のユーザー名が表示されてしまうんです!
(設定によってはされないこともあるみたいですが・・・試してください。私のところでは表示されちゃいました>_<)

参考: 不正ログイン・改ざんを防ぐWordPressのセキュリティ術

 

知る人ぞ知る抜け穴…。でもこれは以下のプラグインを入れて設定することで即解決できます。

Edit Author Slugのプラグインページ

プラグインをインストールして、ユーザー > あなたのプロフィール を開き、一番下のほうにあるAuthor Slugをユーザー名とは別の物に設定します。これだけでOKです。

 

 

ということで、今回はWordpressのセキュリティ対策で簡単に使えるプラグインをご紹介しました。

そのほかに基本的なこととして、バックアップをしっかりとる、Wordpress本体やプラグインを定期的に更新するといったことも忘れないようにしましょう!

ブラウザのEnterやクリックで広告表示される現象を解決!

なんかブラウザの動きがおかしいなと思っていたのですが、あまり気に留めずに過ごしていたら日に日に状況は悪くなるばかり。

最初はブラウザの「戻る」ボタンをクリックした後にひとつ前のページを表示するまでずいぶん時間がかかってしまう、という現象だけだったのが、ある時から、何かのページでEnterキーをしたりボタンをクリックするたびに、新しいウィンドウがバンバン立ち上がりそこにあらゆる広告が表示されるという現象が出始めました。

メインで使っているブラウザChromeもサブのMozilla Firefoxもどちらも同じ症状です。

 

「こりゃもう絶対ウィルスでしょ・・・T_T」

っていうような感じですが、Trend Micro(ウィルスバスター)は常時ONにしているし、疑わしいものをダウンロードした記憶もない。

厄介なことにウィルスバスターでスキャンしても「問題ありませんでした」と言われてしまう。

 

色々調べてみたのですが、イマイチ何のウィルスが原因なのか、どうやって駆除したらいいのかわからず、、困り果てて旦那様に相談してみたところ。。以下の二つのウィルス駆除ソフトでスキャンしてみたほうがいいと。

 

有料で使っているウィルスバスターでスキャンして問題ないって言われるのに、無料のスキャンソフトで果たしてどれだけ効果があるんだろうか。と半信半疑ながら使ってみました。

 

で、まず最初にESETのほうでスキャンした結果。

 

 

 

 

なんと43の感染ファイルが!!!

安全だと思っていたマイPCは全然やばい状態だったってことですね(衝撃・・・)

 

 

ESETのスキャン完了後、Chromeのほうでは上記のような現象はすっかりなくなり、一安心だったのですが、サブブラウザとして使っているFirefoxを開いたところ。。

 

「ま、まだいる・・・」

 

 

 

あいかわらず検索するたびにバンバン新しいウィンドウが立ち上がるあり様。

そんなわけで、次のDr.Webのほうでスキャンを開始しました。

 

その結果は・・・

 

 

 

 

さらに14の感染ファイル。。。

 

いや~本当に衝撃。

つまりはトレンドマイクロを常駐させていてもこれだけのウィルスが私のPCに寄生し続けていたってことですよね(ひぃ~)。

ちなみに、Dr.WEBで見つかったウィルスを駆除したら無事、Firefoxのほうでも上記の現象はすっかりなくなりました。

 

ESETは日本でもそこそこ知られていますが、どちらもそんなにまだメジャーじゃない(?)ですよね。

ちなみにESETはスロバキアのソフトウェア会社の製品、Dr.Webはロシアの会社の製品のようです。

(最近、ロシア語のサイトなどもよく開いていたので、そっち系のサイトでよく撒かれているウィルスだったんだろうか。。)

とりあえず、今回は一件落着ですが一つウィルス対策ソフトを入れているからといって安心せずに時々別のソフトでスキャンするといいかもしれませんね。以下、上記2つのウィルス駆除ソフトの使い方を図解しましたので気になる方はぜひ一度スキャンしてみてください。

何もなければそれはそれで安心ですし、何かあれば早急に駆除できますからね^^

ESET Online scannerでのスキャン

右のサイトにアクセスします。→ ESET Online scanner

 

左側の「Online Virus Scanner」のほうのボタン「Run ESET Online Scanner」をクリック。

eset online scanner
Online Scannerですが、IE以外のブラウザを利用している場合は、スキャンソフトのダウンロードが必要になります。Run ESET Online Scannerをクリックすると新しいウィンドウが表示されるので、そこからスキャンソフトをダウンロードして下さい。

eset online scanner ダウンロード

ダウンロードが出来たらファイルをダブルクリックします。
以下の表示のようにチェックを入れてスキャンを開始します。

eset online scanner インストール

以下のような表示が出たら、Enable detection of… のほうを選択し、他の設定も表示のように選択してStartをクリックします。

eset online scanner インストール

 

スキャンが開始されたらあとは終了するまで放ったらかしでOK。

スキャン中はブラウザを閉じ、なるべくPCの作業をしないようおススメします。

 

 

Dr.Web Cure It! でのスキャン

右のサイトにアクセスします。→ Dr.Web Cure It!

表示されたページで下のほうにスクロールしてFree Downloadのほうをクリックします。

※個人利用の場合のみFreeバージョンが使えます。

Dr.WEB Cureit

ダウンロードページが表示されたらNextボタンをクリック。

Dr.Web CureItダウンロード

 

以下のようなダウンロードボタンが表示されますのでDownload Dr.Web CureIt! and send the statisticsをクリックします。

Dr.Web CureIt ダウンロード

ライセンス規約が表示されるので、チェックボタンを入れてContinueをクリック。

Dr.Web CureIt スキャン

ダウンロードが完了したらそのファイルを起動し、スキャンを開始しましょう。