あなたのサイトは大丈夫でしょうか?

WordPressの開発者であるMatt Mullenweg氏が自身のブログにて、WordPressを使用しているサーバーに対して大規模な不正ログイン攻撃が行われていると発表しています。
この不正アタックは機械的なものであり、簡素なパスワード設定にしているものほど破られやすい傾向にあるようです。
ex) パスワードが[password]や[123456]など

そもそもWordpressは世界で最もシェアのあるCMSです。不正アクセスの存在も最多なのは仕方のない部分もあるでしょう。
簡易なパスワードを設定しない、定期的にパスワードを変更するのは当然として、ホームページ乗っ取りを防ぐのに必要な手段はあるのでしょうか。

当然弊社もクライアント様サイト(Wordpressで作成したもの)へのセキュリティは常に検討・対策しており、SSL通信などの導入も行っておりますが、Wordpressへの不正アタックには頭を悩ませるところです。

今回対策の一つとして簡単に導入できるものの一つである、日本の企業が無償公開しているWordpressのセキュリティ向上プラグインをご紹介します。
インストールするだけで、外部からの不正ログインを防御するほか、管理ページへの不正アクセスやコメントスパムの脅威からウェブサイトを守ることができます。

プラグインは「SiteGuard WP Plugin」です。

インストール方法は簡単。プラグイン検索から「SiteGuard WP Plugin」を検索し、インストール>有効化するだけ。
最新バージョンのWordpressにも対応しており、国産プラグインのため標準で日本語に対応しています。

sgwp
wp_plugin_db

管理ページ(/wp-admin/)へのアクセス制限(画像認証・IPチェック)、ログインページ(wp-login.php)のページ名の変更を自動で行ってくれます。
またセキュアレベルは自身で変更が可能で、業務に支障が出る様な機能はオフにできます。

レンタルサーバーの「ロリポップ!」「ヘテムル」などを運営するGMOペパボ(株)なども、自社サービスにWordpressをインストールした際に自動でこのプラグインを実行するように仕様を変更するなど、今後一般的に普及していくのかもしれません。

現在運用しているWordpressサイトがあり、特にセキュリティ対策をとっていないという方はセキュリティ向上プラグインの導入を検討したほうがよいでしょう。

 

Written by 中島