WordPressに限らず、Webシステムへのブルートフォースアタック(パスワード総当たり攻撃)は、気づかないうちにどんどん増えて、これはどのようなサイトにも発生しています。ログイン履歴を検知するプラグインでログを取ってみればわかることですが、通常パスワードを強固なものにしてれば、パスワードをいくら試されようがそう簡単に入れるものではありませんので、ご安心ください。
それでもパスワードはユーザーによって変更ができますので、いつ簡単なパスワードに変更されても管理しきれない場合もあります。
そんな時は、パスワード以外の方法で、安全性を高める施策を行う必要があるので、少しご紹介しておきます。
固定IPアドレスによるアクセス制限
社内やプライベートの固定IPアドレスをお使いの場合、そこからWordPressの編集を行うことに限定できる場合は、すぐにでもこれを導入するべきです。
プライベートの固定IPアドレスは、VPNという仕組みを利用すれば、誰でも導入ができます。
固定IPアドレスによるアクセス制限 | 20,000円(税別) |
当社ではこちらの固定IPアドレスを使用しています。
https://www.interlink.or.jp/biz/aff/vpn/myip_3min.html
2要素認証によるアクセス制限
スマートフォンのアプリ(Microsoft Authenticator, Google Authenticator)などを用いて、ワンタイムパスワードの入力を行うことで、通常のパスワードと両方が認証されなければ、ログインすることができません。
つまり、自分のスマホに表示される一時的なパスワードがわからないとログインできなくなります。管理者がスマホをお使いなら、とても手軽に導入できるセキュリティ対策です。
2要素認証によるアクセス制限 | 20,000円(税別) |
WordPressサイトをHTTPSへの変更(SSL対応)
通常のhttpから始まるURLでは、通信内容を傍受される可能性があるため、ブラウザには「安全ではありません」という警告が表示されます。サイトから個人情報などを送信する場合は、SSLという暗号化通信を行うことが一般的です。
またSSLに対応するだけで、検索エンジンへの評価がよくなるとも言われているため、最近ではほとんどのサイトがSSLに対応しています。
WordPressの場合、このSSL対応で複雑な作業が必要となるため、安易に作業を行うことはお勧めではありません。
WordPressサイトをHTTPSへの変更(SSL対応) | 30,000円(税別) |
以上、導入が必要な場合は、お気軽にご相談ください。