WordPress をブルートフォースアタックから守る

WordPress に対するブルートフォースアタック

日本では CMS として広く用いられる WordPress ですが、近ごろ「ブルートフォースアタック(総当たり攻撃)」による脅威が話題に上がっています。WordPress はプログラムやコンピュータシステムへの理解がなくても、ウェブサイトやブログを簡単に作成でき、デザインテンプレートも豊富なため、人気があります。

WordPress を通常の方法でインストールすると、管理者は admin というアカウントになります。ブルートフォースアタックは、サイトに WordPress がインストールされているか調べ、あればユーザー admin に的を絞り、パスワードを自動生成させ、何度もログインを試みます。簡単なパスワードなら、すぐに攻撃が成功します。こうした攻撃からサイトを守るため、いくつかの対策が推奨されます。

■対策
(1) admin の名前を変更する。
(2) 2段階認証を用いる。
(3) アクセスを制限する。

一番簡単な admin アカウントの名前を変える方法

■管理画面へ admin でログインする
ログイン画面を表示し、admin でログインしてください。
■別の管理ユーザーを作成する
admin とはまったく別の名前でユーザーを新規追加してください。このとき権限グループを必ず管理者にしてください。もちろんパスワードも強力なものにしてください。意味のないアルファベットと数字、記号を組み合わせて12文字以上あれば強力です。強度インジケータ強力と表示されますので、これを目安に作成してください。
■ログアウトする
一旦ログアウトしてください。
■新しく作成した管理ユーザーでログインする
2つ前の手順で作成した管理ユーザーでログインし直してください。
■admin を削除する
ユーザー一覧を表示させてください。admin ユーザーへカーソルを合わせると、削除リンクが表示されますから、これをクリックして削除します。以降の管理は新しく作成したアカウントで行ってください。

そのほかの方法

2段階認証については WordPress のオフィシャルブログに説明があります。

アクセス制限は、IP により操作できるネットワークを制限したり、BASIC 認証という方法でログインページを表示する際にアカウントとパスワードを用います。やや専門的な知識が必要になります。