プラグイン「Force email login」

ロリポップレンタルサーバーで運営しているWordPressサイトが第三者から攻撃されたということもあり、各レンタルサーバー会社でもパーミッションを変更するなどのセキュリティ対策が行われるようになりました。

サーバー側で対応してくれると、あまり知識のない人でも安全性は高まるものですが、やはり自身でしっかり対策はしておいたほうがもちろん良いのは当たり前。対策としては単純にログインパスワードを強固なものにするだけで実はOKなのですが、ブルートフォースアタックを受けるとサーバーに負荷がかかる可能性もあるので、それも回避しておきたいところです。

ブルートフォースアタックとは?

総当たり攻撃と言って、パスワードを手当たり次第に入力して、強引に不正ログインを試みる方法。

via:ノンプログラマーのための WordPressセキュリティ入門

ブルートフォースアタックによりログインが大量に試みられるにで、サーバーに負荷がかかるということです。

ログインIDをメールアドレスに変更するとことで回避

ノンプログラマーのための WordPressセキュリティ入門

ノンプログラマーのための WordPressセキュリティ入門 のスライドで紹介されているプラグイン「Force email login」をインストールして有効化するだけで、WordPressにログインするのを登録してあるメールアドレスに自動で変更してくれます。

管理画面からプラグインの新規追加より「Force email login」と検索しても表示されるので、そのほうが楽ですね。

ブルートフォースアタックは、ユーザー名がメールアドレスであることを想定していないようなので、不正アクセスを回避でき、しかもメールアドレス表記であることをチェックしてからデータベースにアクセスするようなので、サーバーに負荷がかからないようにできるようです。

不正アクセスを試みてみる

プラグインを有効化して、なにか設定でもするのかとおもいきや、何もしなくてよいです。有効化するだけで実装されるのでとても簡単。WordPressの一般設定で登録してあるメールアドレスがログインIDということになります。

有効化してから一度ログアウトして、以前のユーザー名で試しにログインを試みてみました。すると、Auth failed.表記が現れ、もちろんログインできなくなっていました。パスワードは変更しなければそのまま、登録してあったメールアドレスは予め確認しておくのが良いでしょう。

2段階認証という方法もある

それでもまだ不安という方は、WordPressにgoogleの2段階認証を埋め込むこともできます。スマートフォンのアプリを利用するので、ログインするときには必ず携帯が必要になるという面倒さはありますが、安全面では確実な方法。ちなみにスマートフォンを持っていなくてもiPod touchやiPad、AndroidのタブレットでもOK。不思議と通信能力がなくても利用できます。

毎回入力することを考えると、メールアドレスに変更するほうが楽だとは思います。利用状況に応じて使い分けてみてはいかがでしょうか。

 

スポンサードリンク


このエントリーをはてなブックマークに追加