最近では、WordPress が世界基準と言っても過言ではないほどユーザーが増えています。一方で人気の WordPress を狙うハッカーも日増しに増えています。

あなたの大切な WordPress をハッカーから守るには5つの急所があります。今回はその１番目の急所をシェアしたいと思います。

急所 1 – 失敗したログイン行為に制限を加える

ブルートフォース攻撃とは、Webサイトにハッキングするためにユーザー名とパスワードの組み合わせを発見するために使用される試行錯誤の手法を指します。 ブルートフォース攻撃メソッドは、サイトへのアクセスを取得する最も単純な形式を利用します。ユーザー名とパスワードを、成功するまで何度も推測しログインを試みることです。

デフォルトでは、WordPressはログイン試行の失敗を制限しません。 この制限がないと、WordPressはブルートフォース攻撃の標的になりやすくなります。

解決策 – 事前にセットしたログイン失敗数を超えてログインしようとする行為に対して一定期間ログインを試みることができないようユーザー名とパスワードを入力する画面を表示させないようにする。

急所 2 – 強力なパスワードを採用する

WordPress アドミンパスワードには強力なパスワードを採用すべきです。強力なパスワードとは、英数字とASCII文字の組み合わせを使用した最小12文字から組み立てられるパスワードです。

小文字のみを使用すると、使用可能な文字のプールが26に制限されるため、英数字、大文字、および一般的なASCIIを含めることが重要です。

例えば、４コア・i5 プロセッサーを使ってパスワードをクラックすることのできるおおよその所要時間は：

7文字のパスワードを解読するには0.29ミリ秒かかります。
8文字のパスワードを解読するには5時間かかります。
9文字のパスワードを解読するには4か月かかります。
10文字のパスワードを解読するには10年かかります
12文字のパスワードを解読するには2世紀かかります。

解決策 – 英数字とASCII文字の組み合わせを使用した最小12文字以上から組み立てられるパスワードを採用することです。

急所 3 – 2段階（2ファクター）認証方式を採用する

2段階素認証方式（2FA）は、ウェブサイトにログインするために WordPress アドミンのユーザー名とパスワードとともに追加のコードを要求することにより、非常に強力なセキュリティレイヤーを追加する認証方式です。

２段階認証方式3つのカテゴリー：

２段階認証方式には、ID検証の3つのカテゴリが含まれます。

1.あなただけが知っていることに基づく方法 – オンライン住宅ローン口座を設定する際に、セキュリティに関する質問に記入したことを覚えていますか？ 「あなたの好きな先生は誰ですか？」 または「あなたの母親の旧姓は何ですか？」 これらのセキュリティの質問は、あなただけが知っている答えを要求することにより、二段階認証方法の形式を提供します。

2.あなたが持っているものに基づく方法 – この2段階認証方法のカテゴリーでは、あなたの身元を証明するために、携帯電話やYubikeyなどの物理的に何かを所有している必要があります。例えば、一部の2段階認証方法では、2段階アプリを介して特定のデバイスに送信される一定時間のみ有効な時限コードが必要必要となることにより、二段階認証方法の形式を提供します。

3.あなた自身に基づく方法 – 名前はわからないかもしれませんが、スマートフォンをお持ちの場合は、おそらく生体認証を使用して電話にログインしているでしょう。 生体認証では、ログインを認証するための固有の生物学的特性が必要です。 電話機に指紋スキャナまたは顔認証 IDがある場合、電話機のロックを解除するたびに生体認証を使用することにより、二段階認証方法の形式を提供します。

さらなる２段階認証の方法：

1.電子メール – 2段階認証方式の電子メール方式では、電子メールを介して認証コードが提供されます。 ログインするセカンダリーコードとして、あなたの受信トレイに配信された電子メール本文に記載された認証コードを使用します。

2.SMSテキストメッセージ – 2段階認証方式のSMS 方式は、SMS テキストメッセージを介してモバイルデバイスへ認証コードを配信します。SMSテキストは2段階認証方式の最も一般的なオプションの1つですが、最も安全性の低いものの1つでもあります。 米国国立標準技術研究所は、2段階認証方式のSMSメソッドの廃止を推奨しています。

3.モバイルアプリ – 2段階認証方式のモバイルアプリオプションは、AuthyやGoogle認証システムなどの2段階認証モバイルアプリを使用して、時限ベースのワンタイムパスワードまたは TOTP コードをモバイル端末に配信します。

解決策 – あなたの WordPress ブログのアドミンログインに２段階認証方式を採用することです。最も手軽な解決策として２段階認証方式を実現するプラグインをインストールするという選択肢もあります。

急所 4 – ソフトウェアーのアップデートをし続ける

陳腐化したソフトウェアーをそのままアップデートしないで使い続けることは、WordPress ブログにハッカーを熱烈歓迎するようなものです。WordPress ブログ自体・プラグイン・テーマなどを最新の状態に保つことは、あなたのセキュリティー対策の最優先事項と言えるでしょう。

WordPress コアとあなたがインストールしたテーマ・プラグインは必ず最新版を維持することを忘れないでくださいね。

アップグレードの目的は単に新しい機能追加やバグの修正だけではなく、新たに明らかになった脆弱性に対するセキュリティーパッチなども含まれています。ハッカーたちが用いるボットは、既に明らかになっているジェイ弱性を狙ってバージョンの古い WordPress ブログを集中的に攻撃しています。

あなたがアップデートを無視していれば、ハッカーたちにあなたの WordPress ブログに施した安全対策をすべて迂回するための青写真を与えることと同じです。

解決策 – アップデートスケジュールを作成してすべてを最新の状態に保つようにしてください。インターネット上を探せば1つのダッシュボードから複数の WordPress の更新手続きを管理するツールなども出回っています。

急所 5 – あなたの WordPress ブログをバックアップ

悲しい現実ですが、あなたがどれほど適切な WordPress セキュリティー対策を施しても、ハッカーからの攻撃を100％撃退することはできません。この真実に対する準備としてあなたの WordPress ブログのバックアップをとる必要があります。例えあなたの WordPress ブログがハッキングされてもバックアップをとっていれば攻撃前のクリーンな状態に戻せるからです。

WordPress ブログにはバックアップツールの実装はありません。ですから、しっかりとしたバックアップ戦略を立案することが災難への備えとなります。

解決策 – あなたの WordPress ブログのバックアップを簡単お手軽にとるにはバックアッププラグインがお勧めです。事前にバックアップの実行をスケジュール化してセットしておけば自動的にバックアップをとることもできます。理想的な自動バックアップは、バックアップしたファイルを離れた安全な場所に自動的に保存されるよう設定できることです。

ありがとうございました。