WordPressでの不正ログイン対策

WordPressでは、ログイン画面の URLは「ブログURL/wp-login.php」という形になっていて、ワードプレスの知識のある人には URLが丸分かりです。

総当り攻撃で不正ログインされる可能性はあります。

セキュリティ強化のため、以下の方法があります。

  • ログインURL変更
  • 連続ログイン抑止
  • アクセス制限


ログインURL変更

Stealth Login Pageというプラグインを利用することにより、WordPressの標準的なログインURLではなく、利用者専用のログインURLを使ってログインを行うようにできます。

管理画面の「プラグイン」‐「新規追加」で stealth login pageを検索し、インストール後に有効化したら、「設定」‐「Stealth Login Page」で設定を行います。


連続ログイン抑止

Simple Login Lockdownというプラグインを利用することにより、一定回数以上のログイン失敗後、一定時間内、同一IPアドレスからのログイン試行を抑止できます。

ログイン試行の度に別の IPアドレスに偽装して攻撃してくる相手には歯が立ちませんが、気休めにはなるでしょう。

ログイン時に使用する IPアドレスが決まっているなら、Simple Login Lockdown に加え、.htaccessファイルにより、指定の IPアドレスだけでしかログインできないようにすれば、かなり堅い守りになります。


アクセス制限

Basic認証(ベーシックにんしょう)や Digest認証(ダイジェストにんしょう)を利用して、WordPress のログイン画面へのアクセス制限を行うことで、セキュティを強化できます。

WordPress のログイン画面にベーシック認証をかける WP Admin Basic Auth というプラグインもあります。
ただ、このプラグインでは、WordPress のログイン時に使うユーザー名とパスワードをそのまま使っています。

別のユーザー名とパスワードを使うように改造すれば、さらに守りが堅くなります。


スポンサーリンク