Wordpressの管理画面への不正アクセス対策

WordPressでサイトを作るところが増えてきてますねー。
簡単にサイトが作れるようになりました、流行っているということはそれだけ悪意のある第３者に狙われやすということでもあります。

なので扱っている情報にもよるのですが、一通りのセキュリティ対策は施しておきたいところ。

現状を確認

セキュリティ対策めんどくさいなーって思ってらっしゃる方もどんだけ不正アクセスされているのかっていうのを確認すれば、対策しないとっていう気になるでしょう。
なので、管理画面へのログインのログをとってくれるプラグインをいれてみましょう。

自分のブログで試して見ましたが、あまりにもアクセスがしょぼいため、なんか微妙な結果になってしまいましたが、1日1〜２回ぐらいは不正アクセスをしようとした形跡がありました。

↓管理画面のユーザーメニュー -> ログイン履歴から確認できます。

全部adminでアクセスしようとしてますねー

ちなみに
WorPressPollBotなるものがきていたのですが、これはクローラーで
プラグインとかテーマとかRSSフィードとかをとってWordPressのセキュリティソフトの開発に役立てるそうです。

ちょっと日本語の情報がなくピンとくるものがなくあいまいです・・・
でも、管理画面にログインしようとしたらダメじゃないか・・・？

まあ、とにかく何かしらの攻撃は受けている可能性はあると思って対策をした方がいいですね。
とりあえず下記2つは必須でやって置きましょう。

・デフォルトユーザーのadminは使用しない

・ログイン試行制限

WordPressの初期設定時に管理者のログインIDを設定するところがあるのですが、ここでadmin以外を設定します。

もしadminで設定してしまったら、、、

１：管理画面から新規にユーザーを「管理者権限」で登録

２：ログアウト

３：新しく登録した管理者でログイン

４：adminユーザーを削除（削除するときに新しく作成した管理者に情報を紐づけるようにします）

これにはLogin LockDownプラグインをインストールしましょう。

これを使うと

x分以内にy回以上ログインに失敗したIPアドレスをz時間ブロック

というのができます。

これをやるとbotなどで総当たり攻撃をかけられても、ロックするので、安心です。
他にもいろいろ設定ができるのでセキュリティポリシーに合わせて設定しましょう。

wp-config.phpファイルへのアクセス制限します。

wp-config.phpはご存知のとおりwordpressのパスワードを含む各種設定が書かれている重要なファイルです。
そこでwp-config.phpへのアクセスを禁止させちゃいましょう。

.htaccessに下記項目を追加しておけば大丈夫です。

<files wp-config.php>
order allow,deny
deny from all
</files>

これで実際wp-config.phpファイルにアクセスすると403エラーが返るはずです。

管理画面IPアドレス制限をする。

もし管理画面にアクセスするIPアドレスが決まっているのであれば、IPアドレスを制限することでさらに
強固になります。
wp-adminフォルダの下に.htaccessを作成し

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx ←IPアドレス

WordPressのセキュリティ対策は他にもいろいろありますが、よく言われているセキュリティの基本対策は忘れずにやりましょう。

・最新版にする

・バックアップ

・パスワードを推測しにくいものにする

どれも大事になもの。最新版を常に維持するのはちょっと難しいですが、定期的な更新はやりたいですね。