WordPressログインセキュリティ:ログインページを保護するための5つの簡単なステップ

公開: 2021-10-20

WordPressのログインセキュリティについて心配する必要があるかどうか疑問に思っていますか?

WordPressは、それを使用してWebサイトを構築するのが非常に簡単であるため、世界で最も人気のあるCMSです。 これは無料のCMSですが、支払うべき代償があります。 WordPressは非常に予測可能であるため、簡単にターゲットにできる場合があります。

たとえば、ログインページを見てください。

すべてのWordPressWebサイトには、同じログインページ(/wp-admin.comまたは/wp-login.php)があります。 予測可能性と弱いクレデンシャルを使用する人間の傾向を組み合わせると、ページはハッカーにとって魅力的なターゲットになります。

セキュリティの専門家によると、ログインページはWebサイトで最も脆弱なページです。 毎日、ハッカーはボットを配備して、そのページにブルートフォース攻撃を実行します。 ログインクレデンシャルを把握することで、CMSに簡単にアクセスできます。 ですから、あなたはこれらの招かれざる客からそれを守るためにあなたの力ですべてをしなければなりません。

この記事では、WordPressのログインセキュリティを向上させ、ハッキングを防ぐための5つの高度な方法を紹介します。

2022年にWordPressのログインページを保護する方法

サイバーセキュリティの分野では、不十分なアドバイスがたくさんあります。 そのほとんどは、人々を恐怖に駆り立て、強制的な選択に屈服させることを目的としています。 この記事では、ノイズを増やす代わりに、実際に機能するメソッドを紹介します。 それらは:

  • ログインページのURLを変更する
  • 二要素認証を実装する
  • 失敗したログイン試行を制限する
  • ユーザー名の発見を防ぐ
  • 自動ログアウトを使用する
#WordPress #loginページを#secureしたいですか? これがあなたがする必要があることです
クリックしてツイート

強力なパスワードの適用とSSL証明書のインストールが含まれていないことに気付いたはずです。 それは与えられたものだからです。 すでにご利用いただいていることを願っております。 それを行う方法については、他のガイドを参照してください。

注:以下で説明する対策を実行するには、プラグインを1つまたは2つインストールする必要があります。 そして、最高のプラグインでさえ故障を引き起こす可能性があることを私たちは知っています。 したがって、先に進む前に、Webサイトのバックアップを作成してください。

それでは、始めましょう:

1.ログインページのURLを変更する

記事の冒頭で述べたように、デフォルトのWordPressログインページは次のようになります。

  • www.website.com/wp-admin/
  • www.website.com/wp-login.php/

WordPressのログインページを標的とするボットを設計するハッカーを含め、誰もがそれを知っています。 また、アメリカ人の59% [1]は弱いパスワードを使用しているため、ログインページを総当たり攻撃してWebサイトをハッキングするのは簡単すぎます。

ログインページを保護する1つの方法は、URLを変更することです。

新しいカスタムログインページのURLを作成するのは簡単です。 数回クリックするだけでそれを実行できるプラグインがいくつかあります。

プロセスを示すためにWPSHideLoginプラグインを使用しますが、他のプラグインのいずれかを使用したい場合は、先に進んでください。 手順も同様に簡単で迅速です。

WordPressのログインURLを変更する方法

WPSHideLoginをインストールしてアクティブにします [設定]→[WPS非表示ログイン]に移動します。

ページの下部を下にスクロールし、[ログインURL]セクションに新しいURLを挿入して、[変更を保存]をクリックします。

wpsはログイン設定を隠す-WordPressログインセキュリティ

新しいURLでログインしてみてください。 チームメイトと共有することを忘れないでください。

サポートが必要な場合は、専用ガイドをご覧ください:WordPressログインページのURLを変更する方法。

2.2要素認証を実装します

FacebookとGmailを使用しているときに、2要素認証に遭遇した必要があります。 通常、サービスは、アカウントにログインしようとするたびに、登録された携帯電話番号に一意のコードを送信します。 このセキュリティ対策は、アカウントの所有者のみがアクセスできるようにするために実装されています。 ハッカーがあなたの資格情報を手に入れることができたとしても、あなたの登録された携帯電話番号に送信された一意のコードをハッカーが盗むことはできません。

二要素認証は、WordPressWebサイトにも適用できます。 ログインページにセキュリティのレイヤーを追加します。 次のプラグインのいずれかをインストールするだけです。

  • miniOrangeのGoogle認証システム
  • Google Authenticator –二要素認証(2FA)
  • WPWhiteSecurityによるWP2FA

二要素認証プラグインの設定は非常に簡単です。 miniOrangeのGoogleAuthenticatorを使用して、セットアッププロセスを示します。

二要素認証を実装する方法

miniOrangeのGoogle認証システムをWordPressログインページにインストールします。 プラグインをアクティブ化するとすぐに、セットアップウィジェットが表示されます。 最初のオプション、つまりGoogle認証システムを選択します。

ミニオレンジのセットアップ

次に、スマートフォンにGoogle認証システムアプリをダウンロードします。 アプリを開き、 QRコードをスキャンします

2fagoogle認証システム

アプリはコードを生成します。 セットアップウィジェットに入力し、[保存]をクリックします。

2FAWordPressログインセキュリティがログインページでアクティブになりました。

WordPressログインセキュリティ2要素認証

3.失敗したログイン試行を制限する

WordPressでは、ユーザーは無制限のログイン試行が可能です。 これは無害に聞こえるかもしれませんが、正直なところ、それは明白なセキュリティの抜け穴です。

無制限のログイン試行により、ハッカーはブルートフォース攻撃を実行できます。 このタイプの攻撃では、ハッカーはボットを配備して、ユーザー名とパスワードの適切な組み合わせを見つけます。 ボットは、適切な資格情報を取得する前に数回失敗します。 ボット攻撃に対抗する最も効果的な方法の1つは、ログインの試行を制限することです。

以下のプラグインは、まさにそれを行うのに役立ちます。

  • 再ロードされたログイン試行を制限する
  • WPS制限ログイン
  • ArshidによるWP制限ログイン試行

失敗したログイン試行を制限する方法

プラグインをインストールしてから、 [ログイン試行の制限]→[設定]→[ローカルアプリ]に移動します。 ここでは、Webサイトでのログイン試行を許可する回数を設定できます。 そして、ログインを何度も試みた後、誰かがロックアウトされたままになる期間。

ログイン試行を制限するプラグイン-WordPressログインセキュリティ

4.ユーザー名の発見を防ぐ

通常、ユーザー名はパスワードよりも重要性が低いと見なされます。 これは公開されているレコードであり、そのため、価値が低いと想定しています。 違います。

ユーザー名は、資格情報の半分になります。 パスワードと同じように、保護する必要があります。

WordPressのWebサイトでは、投稿や作成者のアーカイブに表示されるユーザー名を見つけることができます。 ありがたいことに、両方を無効にする方法があります。

著者アーカイブを無効にする方法

これは、任意のSEOプラグインの助けを借りて行うことができます。 以下のチュートリアルでは、YoastSEOを使用して表示しています。

SEO→検索の外観→アーカイブに移動し、作成者アーカイブを無効にします。 [変更を保存]をクリックします。

yoast作者アーカイブ

表示名の変更方法

表示名は、公開された記事やコメントに表示されます。 デフォルトでは、表示名とユーザー名(ログインに使用するもの)は同じです。 ユーザー名が検出されないようにするために、表示名を別の名前に変更できます。

ユーザー名と表示名

[ユーザー]→[プロファイル]→[ニックネーム]に移動します。 表示名を直接変更することはできません。 代わりに、ニックネームを変更してください。 次に、下のドロップダウンメニューから新しいニックネームを選択します。

表示名ドロップダウン

5.自動ログアウト

自動ログアウトは、Webサイトをスヌーパーから保護します。 ユーザーがセッションを無人のままにすると、自動ログアウトによってセッションが終了し、Webサイトが保護されます。

デフォルトのWordPressの動作は、ログインセッションCookieの有効期限が切れてから48時間後にユーザーをログアウトすることです。 また、ユーザーが[Remember Me]ボックスをオンにした場合、14日間ログインしたままになります。 少しのアイドル時間のためにセッションを終了するには、別のプラグインをインストールする必要があります。

以下のプラグインは、自動ログアウトしてアイドル状態のユーザーセッションを終了するのに役立ちます。

  • 非アクティブなログアウト
  • iThemesセキュリティ

自動ログアウトを有効にする方法

プラグインをアクティブにしてから、 [設定]→[非アクティブログアウト]→[基本管理]に移動します。 アイドルタイムアウトの時計を設定します。 ロールベースのタイムアウトのオプションもあります。 よろしければチェックしてください。

非アクティブなユーザーログアウト設定
トップへ戻る

WordPressのログインセキュリティに関する結論

準備完了? 素晴らしい! このページを離れる前に、最後のアドバイスとして、WordPressのログインセキュリティを改善することで、Webサイト全体のセキュリティを強化することができます。これが最終目標です。

#WordPress #loginページを#secureしたいですか? これがあなたがする必要があることです
クリックしてツイート

ハッカーがWebサイトにブルートフォース攻撃を仕掛けるのを防ぐための対策を実装したとしても、侵入者は脆弱なテーマやプラグインを介してアクセスすることができます。 したがって、サイトを24時間最新の状態に保ちます。

ウェブサイトをさらに保護するために、このガイドで説明されているすべてのセキュリティ対策を講じることを強くお勧めします。WordPressのセキュリティに関する10の重要なヒント。

WordPressのログインセキュリティの処理方法について質問がある場合は、以下のコメントでお知らせください。

無料ガイド

スピードアップするための5つの重要なヒント
あなたのWordPressサイト

読み込み時間を50〜80%短縮します
簡単なヒントに従うだけです。

無料ガイドをダウンロード
参考文献
[1] https://www.comparitech.com/blog/information-security/password-statistics/