WordPressのセキュリティ対策として考えなければいけないことはたくさんあります。ApacheやNginxの設定や、コンテンツが設置されたディレクトリのパーミッションの設定だったりです。

攻撃手法は多種多様なのでその全てに対策を施すのはとても難しく、知識とスキルも必要になってきますが、ここではWordPressのプラグインを使ってお手軽に設定できるセキュリティ対策を2つ紹介します。

  • 管理画面へのログインURLの変更
  • MFA(2段階認証)の設定

WordPressサイトの乗っ取りを防ぐための対策です。

管理画面へのログインURLの変更

ワードプレスのログインURLはドメインの後ろに /wp-admin をくっつけるだけで入れます。これはデフォルトの設定、つまり既知のURLになるため、誰でも簡単にログイン画面へたどり着けてしまいます。そこで WPS Hide Login というプラグインを使ってログインURLを変更します。

ログインできなくなると困るので、事前にバックアップを取得しておくことをオススメします

ワードプレスの管理画面からプラグインをダウンロードし、有効にします。

ワードプレスのプラグインWPS Hide Loginのインストール説明画像

 

使い方は非常に簡単で、一般設定の下方にある Login url の項目を変更するだけです。

 

変更後、一度ログアウトし、新しいURLでログイン画面にたどり着けるか試します。

問題なければ、グーグルのSearch Consoleを使っている場合、インデックスされないようにbotのクロールを拒否します。

Googleサーチコンソールのrobots.txt編集画面

 

MFA(2段階認証)の設定

MFA(Multi-factor authentication)は通常のパスワードに加えて、30~60秒程度で切り替わるワンタイムパスワードの入力を強制する認証方式です。

ワンタイムパスワードはスマートフォンやiPadなど、個人のデバイスから発行される仕組みのため、そのデバイスを所持していない第三者のログインを防止できます。

ここでは miniOrange と呼ばれるセキュリティ会社が発行しているプラグインを使用します。また、ワンタイムパスワードの発行ツールとして、スマホに Google Authenticator をインストールしておきます。

プラグインをインストールし、有効にします。

WordPressの2段階認証を設定するプラグイン

 

プラグインをインスール後、miniOrangeのアカウントを作成します。

WordPressの2段階認証プラグインminiOrangeの設定画面

 

アカウント作成後、2段階認証のセットアップ作業になります。

WordPressの2段階認証プラグインminiOrangeの設定画面2

 

Google Authenticatorを選択

WordPressの2段階認証プラグインminiOrangeの設定画面3

 

使用したいデバイスを選択し、バーコードを読み取ってGoogle Authenticatorに設定したのち、表示される6桁のコードを入力します。

WordPressの2段階認証プラグインminiOrangeの設定画面4

 

設定が完了したら、テストを行います。

WordPressの2段階認証プラグインminiOrangeの設定画面5

 

もう一度QRコードを入力し、

WordPressの2段階認証プラグインminiOrangeの設定画面6

 

設定完了です。

WordPressの2段階認証プラグインminiOrangeの設定画面7

 

次回から、管理画面へログインする際にワンタイムパスワードの入力が促されます。

WordPressの2段階認証プラグインminiOrangeの設定画面8

 

まとめ

WordPressのログインURLの変更と二段階認証の設定方法をまとめました。これでフロントエンド側のセキュリティ対策はガッチガチなので、乗っ取りの心配が軽くなりますね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*