WordPress ログイン セキュリティ: ログイン ページを簡単に保護する - MalCare

公開: 2023-04-19

WordPress ウェブサイトへのハッキング攻撃が 1 分あたり 90,000 件を超えていることをご存知ですか? これは非常に高い統計であり、無視することはできません。

WordPress サイトをハッキングするために、ハッカーはログインページを最も標的にしています。 これは、このページからサイトにアクセスすることで、ハッカーがサイトを完全に制御できるようになるためです。

その後の混乱は、サイトに深刻な影響を与えます。 ハッカーは、あなたの名前で違法な製品を販売したり、訪問者を悪意のある Web サイトに誘導したりする可能性があります。 また、訪問者をだまして重複した製品を購入させたり、マルウェアをダウンロードさせたりする可能性もあります。 これは、ビジネスと評判に深刻な損害を与える可能性があります。

幸いなことに、最も標的となるページであるログイン ページを保護することで、ハッカーによる Web サイトの悪用を防ぐことができます。 MalCare では、これらのハッキングに日常的に対処しており、すべての WordPress ユーザーに問題を解決したいと考えています。 ここでは、ログイン ページをハッカーから保護するための最善のセキュリティ対策を紹介します。 また、ウェブサイトをハッカーから保護する方法についてのガイドもご覧ください。

TL;DR:実装が簡単で、ログイン ページを自動的に保護する WordPress セキュリティ ソリューションが必要な場合は、MalCare セキュリティ プラグインをインストールしてください。 ログイン試行を即座に制限できるようになり、WordPress Web サイトを強化するオプションも提供されます。

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

WordPressログインページを保護するための5つのステップ

WordPress ログインページを保護するために実行できる対策がいくつかあります。 ただし、すべての手順が効果的であるとは限りません。 ログインページが脆弱なままで、ノイズを追加しているだけの場合があります。

この記事では、効果的であることが証明されており、確実にサイトを安全に保つことができる 5 つの重要な手順に焦点を当てます。

サイトに既に SSL がインストールされていることを前提としています。 SSL 保護がない場合は、ホスティング プロバイダーまたは SSL プロバイダーからすぐに追加する必要があります。 すべての Web サイトには、最初の基本的なサイト セキュリティ対策として SSL をインストールする必要があります。 Web サイトとサーバー間で転送されるデータを暗号化します。 これは、サイトとホスティング サーバーの間をデータが通過するときに、ハッカーがデータを盗むことができないことを意味します。 したがって、ハッカーがログイン ページからユーザーの資格情報を盗もうとするのを防ぐことができます。

1.ログインページを保護するために強力なユーザー名とパスワードを使用する

WordPress サイトでユーザー アカウントを作成する場合、覚えやすいものや、他のすべてのアカウントで使用したことのあるものを使用する傾向があります。 これの問題は、ハッカーの仕事が非常に簡単になることです。

まず、ハッカーはブルート フォーシングと呼ばれる手法を使用して、さまざまなユーザー名とパスワードを使用して、アカウントへの侵入方法を推測しようとします。 彼らは、数秒で何千もの試行を行うことができる自動化されたボットとアルゴリズムを使用してそれを行います. 「password123」のような単純なパスワードを使用している場合、ボットは最初の数回の試行で推測できます。

第二に、すべてのアカウントで同じ資格情報を使用している場合、これは問題を引き起こします。 トップ企業のデータ侵害が非常に多く、2019 年だけで 41 億件の記録が流出しました。 ユーザー名とパスワードがショッピング Web サイトなどで盗まれた場合、ハッカーはそれを使用して、メール、インターネット バンキング、WordPress サイトなど、他のアカウントをハッキングしようとする可能性があります。

管理者のログイン資格情報は、自宅やオフィスの鍵のようなものです。 これが、ログイン セキュリティの最初のステップで、信頼できるユーザー名とパスワードを使用する理由です。

  • デフォルトのユーザー名「admin」は使用しないことをお勧めします。 Web サイトの名前がthefirstexample.comの場合、管理者のユーザー名を「thefirstexample」にしないでください。 これらは、ハッカーがログイン画面で最初に試みるいくつかのユーザー名です。 代わりに、誰にも推測されにくい、変わったユニークなものを使用してください。
  • パスワードに関しては、誰にも推測されにくいものを使用する必要があります。 記号や数字と組み合わせてパスフレーズを使用することをお勧めします。 これにより、パスワードが非常に強力になります。

パスワードの作成中に、WordPress はパスワードの強度または強度を示します。 例を挙げると、WordPress 管理者アカウントで次のように作成しました。

ワードプレスの弱いパスワード

WordPress は、パスワードが非常に脆弱であることを示しました。 そこで、これでゲームを強化しました。

強力なパスワードワードプレス

最後に、WordPress Web サイトは貴重な資産であるため、固有のパスワードを設定する価値があると考えています。 他のサイトで使用していないものを考えてください。

これで、ログイン資格情報が安全であることがわかりました。 WordPress サイトに複数のユーザーがいる場合、すべてのユーザーがこれらの推奨事項に従うことが重要です。これは、WordPress ログイン ページを保護する上で非常に重要なステップだからです。

2. セキュリティを強化するためにログイン試行回数を制限する

デフォルトでは、WordPress は無制限のログイン試行を許可します。 ハッカーは、ブルート フォース攻撃を通じてこの機能を利用します。 ユーザーが許可されるログイン試行の失敗回数を制限するだけで、ブルート フォース保護を得ることができます。

Web サイト、特にオンライン バンキングの Web サイトで間違ったパスワードを入力すると、次のプロンプトが表示されることがあります。

ログイン試行の失敗

これは、Web サイトが制限付きのログイン試行を実装しているためです。 ユーザーは、自分のアカウントに入るために正しい資格情報を入力する機会が 3 回あります。 3 回間違えると、アカウントからロックアウトされ、[パスワードを忘れた] オプションを使用する必要がありました。

この機能は、次の 2 つの方法で実装できます。

  • プラグインの使用 – MalCare セキュリティ プラグインをお勧めします。 インストールが完了すると、限定された WordPress ログイン保護が自動的に実装されます。 このプラグインは、悪いボットがサイトにアクセスするのを防ぐ Captcha ベースの保護も提供します。
  • 手動 –ログイン試行回数を手動で制限するには、functions.php ファイルにアクセスする必要があります。 対応するコールバック関数を使用して、WordPress アクションとフック フィルターを追加する必要があります。 この方法は技術的で危険です。 コーディングに精通していない場合は、これを試みないことをお勧めします。

これら 2 つの対策を実施することで、WordPress Web サイトのログイン ページの基本的なセキュリティ対策が強化されます。 これで、より高度な対策に移ることができます。

[ss_click_to_tweet tweet=”WordPress では、デフォルトで無制限にログインを試行できます。 MalCare を使用して、制限付きログイン試行を自動的に実装してください。」 content=”WordPress では、デフォルトで無制限にログインを試行できます。 MalCare を使用して、制限付きログイン試行を自動的に実装してください。」 スタイル=”デフォルト”]

3. 2 要素認証を使用してログイン セキュリティを強化する

Gmail アカウントにログインしようとするときは、2 つの手順に従う必要があることに気付いたに違いありません。

ステップ 1 では、資格情報を入力します。 ステップ 2 では、Gmail から登録済みの電話番号またはメール アドレスに確認コードが送信されます。 その後、メールにアクセスするには、Gmail アカウントにこの番号を入力する必要があります。 これは、2 段階認証または 2 要素認証です。

ログイン セキュリティの 2 要素認証

アカウントにアクセスするユーザーが本物であることを確認するために、このプロセスでは、通常の資格情報と、リアルタイムで生成されるワンタイム パスワード (OTP) が使用されます。

そのため、ハッカーが資格情報を推測したとしても、送信されたワンタイム コードを入力する必要があり、WordPress ログイン ページを簡単に保護できます.

プラグインを使用して 2 要素認証を実装できます。 推奨する 2 つのプラグインは、Google Authenticator 2FA と 2 要素認証です。

注: MalCare プラグインを使用している場合は、2 要素認証が間もなく利用可能になります。

4. ジオブロッキング – ハッカーが WordPress Web サイトにアクセスするのを防ぎます

WordPress サイトをセットアップすると、特定の地域に設定しない限り、世界中からのトラフィックが自動的に歓迎されます。

トラフィックの発信元を確認するには、Google アナリティクスにサインアップする必要があります。 ダッシュボードに、[ユーザーはどこにいますか?] オプションが表示されます。 [場所の概要] をクリックすると、訪問者がどこから来たのかを正確に確認できます。

ブログの主なトラフィック

または、MalCare のようなプラグインを使用すると、トラフィックの発信元も表示されます。

多くの場合、特定の国から不要なトラフィックが発生していることに気付いた Web サイトの所有者に遭遇しました。

私たちが何を意味するのかを示すために、例を挙げてみましょう。 たとえば、英国のみに対応するウェブサイトexample.co.uk があるとします。 しかし、Analytics を確認すると、ロシア、シンガポール、米国などの他の国からの Web サイトのトラフィックが多いことがわかります。 あなたはそれを赤い旗と見なすべきです。

これはハッカーを示しているだけです。MalCare プラグインを使用して、トラフィックが実際に悪意のあるものかどうかを確認できます。

MalCare プラグインをインストールしたら、ダッシュボードにアクセスします。 [セキュリティ] の下に、Web サイトで行われたログインの試行回数と、プラグインによってブロックされた回数が表示されます。

MalCare ログイン要求

[さらに表示] をクリックすると、トラフィックの発信元と試行されたユーザー名が監査ログに正確に表示されます。

WordPressのセキュリティを向上させるためにログイン試行を制限するマルウェア

そのようなトラフィックが望ましくないリスクであると思われる場合は、単純に国全体をブロックできます. これを行うために、MalCare には「ジオブロッキング」と呼ばれるオプションがあり、選択した国の IP アドレスをブロックすることでセキュリティ層を追加します。 方法は次のとおりです。

  • ダッシュボードでサイトを選択し、[ジオブロッキング] をクリックします。
マルケア ジオブロッキング
  • 次に、ドロップダウン メニューから、ブロックする国を選択します。 [国をブロック] をクリックすると、[選択した国の IP が正常にブロックされました。
マルウェアジオブロッキング

ジオブロッキングまたは国によるブロッキングは、ハッキングされるリスクを軽減するのに役立ちます. 一部のトラフィックは正当なものである可能性があるため、国全体をブロックすることはお勧めできません。 ただし、その国からのトラフィックが不要であると 100% 確信している場合は、ハッカーがアクセスできないようにして WordPress ログイン ページを保護できるように、ブロックすることをお勧めします。

また読む:WordPressログインが安全でない問題を修正する方法

5.自動ログアウト

アカウントにログインして開いたままにしておくという習慣は珍しくありません。 アカウントからログアウトせずにブラウザーを閉じていることに気付くかもしれません。 システムを無人のままにしておくと、ハッカーがブラウザーを再度開き、アカウントに自動的にログインする可能性があります。

このような習慣は、攻撃のリスクを増大させます。 このようなリスクを軽減するために、多くの Web サイトは「自動ログアウト」を実装しています。 これは、オンライン バンキングでは一般的な方法です。 一定時間操作を行わないと、Web サイトから自動的にログアウトされます。 以下のようなプロンプトが表示される場合があります。

ログアウトの原因となるエラー

これは、WordPress Web サイトに実装できる重要な手段です。 これにより、ユーザーがシステムから離れている間にログインしているアカウントを悪用される可能性がなくなります。

この対策は、リモートで作業する人や個人のデバイスで作業する人に特にお勧めします。 Web サイトの所有者として、非アクティブなときにログアウトすることを忘れないようにすることはできません。 公共のコンピューターやセキュリティで保護されていない公共の Wi-Fi を使用している場合、Web サイトはより大きなリスクにさらされます。

e バンキング サービスとは異なり、WordPress は非アクティブなユーザーを自動ログアウトしません。 ただし、Bulletproof Security などのプラグインを使用して、このセキュリティ対策を実装できます。

プラグインには、有効にできる「アイドル セッション ログアウト」と呼ばれるセキュリティ機能があります。 ユーザーが自動的にログアウトされるまでの非アクティブ期間を選択できます。

自動ログアウト

この対策により、サイトが悪意のあるユーザーの手に渡るのを防ぐことができます。

[ss_click_to_tweet tweet = “MalCare のこのセキュリティ ガイドで、WordPress のログイン ページを簡単に保護できました。” content="MalCare のこのセキュリティ ガイドで、WordPress のログイン ページを簡単に保護できました。" スタイル=”デフォルト”]

まとめ: ログインページだけではありません

WordPress ログイン ページのセキュリティを保護することで、安全な WordPress Web サイトに一歩近づきます。 ハッカーは、簡単にハッキングできる Web サイトを狙っています。 したがって、基本的な手段で Web サイトを保護することにより、ハッカーはおそらく数回試みてから、より簡単なターゲットに移動します.

ただし、これは、ハッカーがサイトをハッキングできないことを保証するものではありません。 ハッカーは、Web サイトで見つけた脆弱性を特定して悪用します。 インストールした新しいプラグインにセキュリティ上の欠陥がある可能性があります。 ずっと前にインストールしたテーマで、時間の経過とともに開発された脆弱性を更新するのを忘れていた可能性があります. ハッカーが利用するそのような機会はたくさんあります。

本当に必要なのは、包括的な保護計画です。 IP ブロッキング、wp-config.php でサイトを保護する、WordPress セキュリティに関するこの完全なガイドに従う、最高の WordPress セキュリティ プラグインの 1 つである MalCare を使用するなど、さらにいくつかのセキュリティ対策を講じることを強くお勧めします.24 時間体制でサイトを保護します. 定期的なスキャン レポートにアクセスでき、推奨される WordPress の強化対策を実装することもできます。 これにより、WordPress サイトへの侵入が非常に困難になります。


 MalCare Security Pluginでサイトを保護しましょう!