WordPressへの不正アクセスを防ぐ！

みなさんこんにちは！ミュンヘンのWeb担当mak utsunomiya(@munchen_stil)です！つい最近、エックスサーバー以外で運営している、とある趣味のブログを運営しているWordPressを開こうとしたら「あれれ？」ログインできない！

「不正ログインの形跡があります」とのメッセージが出ているではありませんか！

数年前から、コンピュータを使ってIDやパスワードを手当たり次第に破っていくとブルートフォースアタックが多くなっているといいますが、その影響なのかな？

WordPressは世界で最も使われているCMSなので狙われやすいという話は聞いた事はありますが・・・。

今回不正アクセスが起こったのは、WordPressのテストに使っているサイトなので、改ざんされてデータがおかしくなってもどうって事は無いのですが、そのサイトからスパムをまき散らされる可能性もありますし、もしそうなったら責任が全くないわけではない。

当サイトは、業界屈指のセキュリティを誇るエックスサーバーを利用しているとはいえ、今回の不正アクセスを期に「自分の身は自分で守る」を実践する為、考えうるセキュリティ対策をすべて試してみる事にしました。

その第一弾が今回の「SI CAPTCHA Anti-Spam」プラグインの導入です。

 

SI CAPTCHA Anti-Spam

ブルートフォースアタックはIDやパスワードを手当たり次第に試行していく方法をとっていますので、まずは管理画面の強化を図る事を考えました。

今回私が覚えた不正ログインの恐怖を拭い去る為、SI CAPTCHA Anti-Spamでログイン画面に画像認証を設置し、パスワードとの二重ロックをかけようと思います。

コメント欄にも画像認証が設置できるのでコメントスパム対応にもなりますね。

ログイン画面に認証コード

 

コメント欄にも認証コード。

 

導入方法

プラグインを導入する前に、サイトのバックアップをとるようにしましょう。

1. プラグイン > 新規追加
2. SI CAPTCHA Anti-Spam　検索
3. インストール >　有効化
4. プラグイン > Si Captchaオプション

 

設定方法

設定画面のヘルプで項目の詳細が日本語で見れますので、そちらを見ながら適宜変更してみて下さい。デフォルトでも動作しますが、変更しておいた方が良い個所をご紹介させていただきます。

キャプチャ

ログインフォームでキャプチャを有効にする。
今回のログイン画面の二重ロック設定の肝となります。ここにチェックを入れる事で管理画面に画像認証を設置できます。

次の条件に合致する 登録 ユーザからキャプチャを隠す
デフォルトではログインした状態だとキャプチャが見れない設定になっています。ここのチェックを外すとログイン状態でも見れるようになりますので、お好みで変更してみて下さい。

 

Akismetのスパム防止状況

Akismetが有効になっているかチェックできます。Akismetは優れたコメントスパムフィルタを有していますので、是非利用するようにしましょう。

 

キャプチャ用フォームのCSSスタイル

キャプチャのサイズは上記のキャプチャ：項目の「小さめのキャプチャ画像を有効にする。」でサイズを選ぶことができますが、細かい設定はCSSで行うようになります。
また、テーマによっては位置にずれが生じる場合があるようです。そういった時にもここで調整するようにしましょう。

[　キャプチャコードが左に寄りすぎ　]
キャプチャコードがコメント欄より左に寄りすぎているという問題が多いと言いますが、そういった場合は、「キャプチャDIV用CSSスタイル」欄の

display:block;

の所を

display:block; margin-left:○○px;

○○pxの所に数値を入力していきますが、テーマによって数値は変わってきます。プレビューを見ながら少しずつ調整していきましょう。

 

[　送信位置より下に来たら　]
稀に送信ボタンより下に認証コードが表示される場合があります。その場合はテーマ編集のcomments.phpの中にある

<?php do_action('comment_form', $post->ID); ?>

を移動させて調節していきます。こちらもプレビューを見ながら調整していきましょう。

 

テキストラベル

表示されるテキストラベルを変更する事が出来ます。全てを変える必要はありませんが、少し手を加える事でユーザビリティの向上が見込めます。

Wrong CAPTCHA
入力コードが間違っているときのテキストになります。当サイトでは「コードに誤りがあります。再入力してください。」としています。

Empty CAPTCHA
空欄時に表示されるテキストになります。当サイトでは「画像の認証コードを入力して下さい。」としています。

キャプチャコード
入力欄の横に表示されるテキストになります。当サイトはデフォルトで使用していますが、「コードを入力して下さい。」というように変えた方が分かりやすいのかなとも思っています。この辺はお好みで変更してみて下さい。

 

まとめ

これで管理画面に二重ロックをする事が出来ました、機械的なアクセスには多少効果があるのではないかと思います。実際は、エックスサーバー側でも管理画面にセキュリティをかけてもらっているので、すでに三重になっているのでしょうかね。

何はともあれ、これで少しはコンピュータを使った手当たり次第のハッキングの脅威からもWordPressを守れるのではないかと思います。セキュリティ対策は自身の手で行うのが基本だと思いますし(パソコンなんかはそうですよね。)やらずに後悔するより、やっておいた方が良いと思います。

自身の手による対策と、セキュリティ能力の高いレンタルサーバーを使う事で、大切なWordPressを守っていきましょう。

 

国内屈指のセキュリティ「エックスサーバー」

大切なWordPressを守るには、セルフセキュリティとレンタルサーバーあわせての対策が必要です。エックスサーバーは国内屈指のセキュリティで、大切なデータをウェブスパムから守ってくれます。