FIVE FOUR

メニュー
HOME > WordPressのログイン画面にBASIC認証をかけるプラグイン

WordPressのログイン画面にBASIC認証をかけるプラグイン


以前のエントリでも WordPressのAdminアカウントへの攻撃(ブルートフォースアタック)に対するアカウント名変更の方法 を取り上げていますが、今回はさらにセキュリティを強化する方法としてWordPressのログイン画面にBASIC認証をかけるHowToなどをご紹介します。

自分のサイトがどれほどのアタックを受けているのか?

そうは言っても自分のサイトのアカウントがログイン攻撃をされているかどうかわからないと、あまり実感が持てませんよね。
そこで一つ、ためしていただきたいのが、アカウントにログイン攻撃があるかどうかを確認することが出来るプラグインです。

WordPressへのログイン履歴を記録するプラグイン

こちらのプラグインをインストールすると、ログインの失敗を含めての履歴をとってくれます。
サイトへのログイン履歴は、WordPress管理画面のユーザー管理から確認できます。

▽こんな感じにロシアから猛烈アタック中なのが一目瞭然(やめてー!

結構な頻度でアタックを試みられているのがよくわかります。

サイトによっては攻撃を受けていない可能性もありますが、セキュリティの確保に「やりすぎ」という事はありません。
以下にご紹介する方法でログイン画面にBASIC認証をかけておく事をおすすめします。

WordPressのログイン画面にBASIC認証をかける

BASIC認証をかけるWordPressプラグインを作ってくれている方がいらっしゃいましたのでご紹介します。
通常のプラグインと同様にインストールして有効化すれば使用可能となります。
※本来ですと、BASIC認証をかける際には.htaccessなどの設定が必要となるのです。

▽プラグイン配布元の記事
WordPressのログイン・管理画面にBasic認証をかけるプラグイン「WP Admin Basic Auth」を作りました

▽ログイン画面にアクセスするとこのようなウィンドウが表示されます(一度ログアウトが必要です)
BASIC認証ウィンドウ

現在は、WordPress本体のユーザーアカウントと共通のユーザー名+パスワードになっているようですが、

もし、Basic認証を突破しようとする bot が現れた場合は、管理画面からBasic認証のユーザー名とパスワードを変更できるようアップデートする予定です

との事です。ありがたいです。

大事なこと

以前のエントリ でも触れていますが、これらの対策は絶対ではありません。
アカウント名とパスワードを簡単に推察されるような文字列に設定しないようにして下さい。
特にパスワードは重要です。

ブルートフォースアタックでは、辞書に載っているような単語を総当りでログインを試みようとするようですので、
数字や記号を混ぜるなど、ひとひねり加えるだけでもだいぶ違ってくるのではないでしょうか?

今後も折に触れてWordPressのセキュリティについては取り上げていきたいと思います。

ファイブフォー株式会社 制作担当
やまもと