WordPress のセキュリティをめっちゃいじってみた

WordPress の不正ログイン対策

最近やたらと Web セキュリティが気になって、登録してるサービスを片っ端から2段階認証オンにしたりしてます。

この WordPress ですが、ほぼ初期設定のまま7年が経ち、ちょっと本腰を入れてセキュリティ対策をしてみました。こんな弱小ブロガーなんて攻撃されないかもだけど 慢心ダメ絶対

ログイン URL を非表示にする

「ログインのリンクが出てるから便利でいいや」と放置していた「ログイン」のリンクをブログから消しましょう。

ログインリンクが見えちゃってる

いま使っているテーマではウィジェットの設定から簡単に消せました。(テーマによって設定が違うかもしれません)

メタ情報を非表示に変更

ログイン URL を撹乱

リンクが消えたといえ WordPress の仕組みを知っていればログインページにアクセスできてしまうので、URL を混乱させます。
Login rebuilder というプラグインで、本来 wp-login.php というファイル名で固定されていたログインページのファイル名を変更できます。
Login rebuilder – WordPress プラグイン | WordPress.org 日本語

プラグイン Login rebuilder

このプラグインを使って、ログインページのファイル名をめちゃめちゃ長くしました。
この対策でログイン URL を記憶できなくなりましたが、パスワードマネージャーに URL を登録しておけるので、実用性に問題はありません。(ちなみに私は パスワードマネージャーに KeePass を愛用しています)

ログインページのファイル名変更

WordPress 本体のインストールディレクトリも変更しようかと思いましたが、画像などのパスでバレるので意味がないことに気付きました。

CAPTCHA の設置

さらに、突破されてしまっても bot を排除できるよう、CAPTCHA も設置。
Advanced noCaptcha & invisible Captcha (v2 & v3) – WordPress プラグイン | WordPress.org 日本語

プラグイン Advanced noCaptcha & invisible Captcha

最近の CAPTCHA はすごいですね、歪んだ文字の入力もチェックボックスクリックもなく、「ただ表示するだけ」で有効になります。

CAPTCHA で保護

ちなみにログインページを表示したまま1時間くらい放置してからログインしようとしたら弾かれました。行動で bot かどうか判断しているようです。

2段階認証

今度は人間を相手にした対策。万が一ログインページまで辿り着けたとしても、スマホの認証アプリのコードを入力しなければならない 2段階認証 も加えましょう。
Google Authenticator – WordPress プラグイン | WordPress.org 日本語

プラグイン Google Authenticator

WordPress のユーザページに認証アプリ用の QR コードが表示されるので、それをスマホアプリで読み込みます。

スマホの2段階認証アプリ

アプリで表示されたコードを入力しないと、ログインが通らないようになりました。

2段階認証

まとめ

ログイン URL の撹乱、CAPTCHA、2段階認証と3つも対策入れれば充分でしょう。ここまで対策しなくても、当然のことですがパスワードは使い回しせず、充分な強度を持ったものを使いましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です