いろいろなWordPressのセキュリティ対策が、幕の内弁当のように1つのプラグインに入っている、とっても便利なものに「SiteGuard WP Plugin」というのがあります。
ホームページやブログを運営している管理者の方は、WordPressをなんとか不正アクセス攻撃から守ろうとして、ログインチェックも行い、目的に応じて何種類もプラグインを導入し、細かい対策を駆使して頑張っています。
ですから、できる限り楽で、設定も簡単なプラグインがあったら、とっても嬉しいですよね〜 SiteGuard WP Plugin はそんなWordPressのセキュリティ対策を1つにまとめてくれているプラグインです。
SiteGuard WP Plugin を使わない場合
「SiteGuard WP Plugin」を使わない場合はどのような対策を行うことが多いのか?といいますと・・・・
ひととおりの設定として、
まずは、WordPressのログイン画面と、管理フォルダにBASIC認証(アクセス制限)をかけておきます。
自分のサイトのアドレス/wp-login.php ←このファイル自体にアクセス制限をし、/wp-admin/にもアクセス制限をかけ、IDとパスワードを知っている人でないとエラーになるようにします。ただし、admin-ajax.phpだけは除外しておきます。
ただ、BASIC認証も完璧ではありませんので、WordPressの管理画面にログインしたユーザーの履歴を見えるようにするプラグイン、ユーザー名が簡単にバレないようにするプラグインなどの導入(※1)を行います。
それでも、1分に数回、150回から300回繰り返されるというブルートフォースアタックでは、ログインされてしまうかもしれません。
ですから、次は、WordPressのログイン回数を制限するプラグイン、たとえば、Simple Login Lockdown(※2) のようなものがありますので、このプラグインを導入します。画像認証ができるプラグインなどを選ぶと更にWordPressのセキュリティ対策が強化できてよいですね。
先ほど、wp-login.php の対策を行いましたが・・・まだ、ピンバック攻撃(DDoS攻撃)というものがあります。