WordPressの不正ログイン対策とは

WordPressはオープンソースのCMSとして世界中で人気がありますが、利用者が多いため、不正ログインによる情報漏洩やサイト改ざんなどの被害が後を絶ちません。しかしながら、サイバー攻撃回避のため他のCMSへの変更を検討するとしても、相応の労力と時間を要します。ここではぜひ実施して頂きたい不正ログイン対策を解説します。

なぜWordPressを利用したWebサイトが、不正ログインなどのサイバー攻撃の標的とされるのでしょうか。サイバー攻撃者の目的はさまざまですが、不正ログインによりWebサイトのコンテンツ改ざんが容易となるからです。Webサイトの改ざんには次のような理由が考えられます。

一つは、自動転送やリンクなどを利用して、Webサイトの訪問者をマルウェアの配布サイトなど、悪意のあるWebサイトに誘導することです。WordPressでは、一部の情報(ヘッダ部分など)を改編することによって同じ情報をすべての記事に挿入することができます。つまり、攻撃者が容易に悪用できるような作りなのです。また、利便性の高さから多く導入されている、メールフォームを設置するプラグインの、迷惑メールの送信への悪用などもあります。

WordPressはオープンソースであるため、サイバー攻撃者が内部構造を把握することが可能です。利用者は、適切にセキュリティ対策されていないWebサイトは不正ログインされる可能性があり、万が一不正ログインされた場合、深刻な被害を引き起こす可能性があることを留意する必要があります。

上述の通り、セキュリティ対策を怠った場合、不正ログインされる可能性があることをご理解頂けたと思います。ここでは、具体的な対策についてご紹介します。

WordPressの管理画面にログインする際、ユーザー名とパスワードを入力します。入力するパスワードを、他のサイトなどですでに利用しているパスワードを使い回す場合が多いようです。Webサイトやサービスごとで異なるパスワードを用意することは手間かもしれませんが、パスワードの使い回しにより攻撃者の格好のターゲットとなります。

パスワードを複数のサイトで使い回している場合、攻撃者が一つのWebサイトでのログインに成功すると、その他の同じパスワードを利用しているWebサイトでもログインされる可能性があります。WordPressのWebサイトが強固に作られていたとしても、セキュリティ対策が十分でないwebサイトと同じパスワードを使いまわしている場合、そのwebサイトのパスワードが盗まれてしまうと、同じパスワードを使い回している他のすべてのwebサイトがセキュリティ強度に関係なくログインされてしまう可能性があります。このようなことから、パスワードの使い回しは避ける必要があります。パスワード管理を難しく思われるような場合は、複数のパスワードを管理できるパスワード管理ツールの利用がおすすめです。

パスワード管理ツールの利用により自ら考える必要なく攻撃者に突破されにくいパスワードを用意できますが、ここではご自身でパスワードを作成したい方のために、他人や機械に推測されにくいパスワードを作るためのポイントをお伝えします。

まず、基本ですが、ご自身やご家族の誕生日、車のナンバー、電話番号などのような簡単に推測できる数字は厳禁です。また、辞書に掲載されているような、すでに存在する意味のある言葉のパスワードへの利用も好ましくありません。コンピュータはそのような言葉を短時間で推測します。

できれば、アルファベットの大文字と小文字、それに数字と記号の4種類をすべて組み合わせましょう。数字のみの組み合わせのパスワードではコンピュータは総当たりにより簡単に解析できるため、8桁程度のパスワードは瞬時に突破されます。数字と英小文字の2種類を組み合わせた場合でも、7～8桁程度のパスワードが容易に突破されることは想像に固くありません。一方、アルファベットと数字に記号を組み合わせると、12桁のパスワードの解析に40万年要するという調査結果があります。

パスワードを設定する際は、強力な文字列を選択することが重要です。

ログインIDを外部から容易に取得できる状態はセキュリティ的に危険です。ところが、WordPressをデフォルトの設定で利用している場合、WebサイトのURLを少し操作することでログインIDを表示させることができます。それは、WebサイトトップページのURLの後に続けて「?author=1」を追加してアクセスすると、「http://****.com/author/〇〇〇〇/」として、「〇〇〇〇」の部分にログインIDを表示させることができます。基本的に、WordPressのログインページのURLは「URL＋wp-login.php」であるため、ログインIDを第三者が容易に取得できる状態は不正ログインなどのサイバー攻撃を受けるリスクが非常に高いと言えます。WordPressでWebサイトを作成するのであれば、「WP Author Slug」などの専用のプラグインを導入し、ログインIDを第三者に取得されないよう対策を行う必要があります。

WordPressに限らず、より強固なセキュリティ対策として二段階認証の利用は広く一般的になりました。二段階認証とは、ID/パスワード入力の他に、アプリを利用したログイン可否の選択や、セキュリティコードの入力を追加することで、不正アクセスを防止する仕組みです。

たとえば、IDとパスワードを入力したタイミングで登録先のメールアカウントに認証コードが届き、そのコードの入力をログインに必須とすることでアカウントを保護します。認証コードを音声通話として届けることも可能です。いずれの場合でも、本人以外が認証コードを受け取ることができないメールや音声通話を利用することで、悪意ある第三者の不正ログインを防ぐことができます。二段階認証を導入することでセキュリティ対策のレベルが大きく変わるので、まだ導入していないのであればぜひ二段階認証の導入を検討しましょう。

・最新版へのアップデートや不要なプラグインの削除
管理画面へ不正アクセスされるリスクがあるため、WordPress本体、プラグイン、テーマのバージョンは常に最新版にアップデートしておきましょう。また、不要なプラグインの削除も検討しましょう。ユーザー数の少ないプラグインには、利用途中でアップデートされなくなるものもあります。
有効にしていない未使用のプラグインに脆弱性があった場合も、脆弱性を悪用した攻撃のターゲットとなる可能性があるので、注意が必要です。

・セキュリティプラグインの導入
WordPressにはセキュリティを高めるための各種プラグインが提供されています。例えば、一定時間内に複数のログイン試行があった場合に管理画面を非表示にするといった対策が可能です。ログイン画面のURLを変更する、二要素認証の導入などもプラグインで用意されているので利用を検討してみましょう。

・ログ監視
ログを定期監視することで、早いタイミングで異常が検知できるのでログの監視を行いましょう。

・IP制限
管理画面に対し、IP制限を行うことも有効です。社内ネットワークからのアクセスなどに限定することで、安全性の向上を図ることができます。

・WAFの導入
WordPressを設置しているウェブサーバーとの接続経路上にWAF（Web Application Firewall）を導入することも有効な対策です。

参照 : https://ascii.jp/elem/000/004/040/4040827/

利便性の高いWordPressですが、不正ログインによってWebサイトの改ざんなどの被害に遭うと、その復旧に膨大な時間と労力を要するだけでなく情報漏洩に対する賠償金などが発生する可能性があります。「うちは大丈夫」と油断せず、不正アクセスなどのサイバー攻撃への対策を適切に講じましょう。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。

WAF （Web Application Firewall）である「攻撃遮断くん」は、WordPressの脆弱性を悪用したサイバー攻撃にも有効です。

ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。