こちらではビーズクリエイトスタッフが日々学んだことのアウトプットや、お客様の役に立つ情報を発信しています!

  1. HOME
  2. ビーズクリエイトの日々
  3. WEBサイトを不正アクセスから守る、簡単にできる方法
ビーズクリエイトの日々

WEBサイトを不正アクセスから守る、簡単にできる方法

ビーズクリエイトの日々

116

ビーズクリエイトの伊藤です。
WEB業界にいるとWEBサイトへの不正アクセスに遭遇したことも何度かあります。
そうした実体験も含めて、できるだけ手軽かつ効果のあるセキュリティ強化方法を紹介したいと思います。
※今回の手法はWEBサイトへの不正アクセスに対するセキュリティ向上方法です。

そもそも不正アクセスって?

本人しか知らないIDやパスワードでログインする場面があちこちでありますが、不正アクセスとは本人以外の人が不正な手段でログインしてしまう行為を指します。
たとえばIDとパスワードをメモ書きして付箋で貼っておき、それを見た誰かがその情報を使って勝手にログインしたら不正アクセスとなります。

とはいえ、世の中の被害はそうした現実でメモ書きされたものを盗み見て行う以外の手段の方が大多数です。
よく使われる手法ではブルートフォース攻撃や辞書攻撃が代表的です。
ブルートフォースはいわゆる総当りと呼ばれる方法で、例えばログイン画面のパスワードが数字6桁なら、0から9までの数字の組み合わせで正解が出るまで延々とパスワードを変えての入力が行われます。
時間が掛かりますが最終的には必ず正解にたどり着きます。

次に辞書攻撃というのは、よくパスワードで使われやすい英数字の組み合わせをリストとして持っておき、リストの内容に基づいた総当りとなります。
パスワードを自分が覚えやすいように生年月日の数字や、0123456、abcdeといった順列、password、loginなど意味のある英単語で設定したことに心当たりがある人もいるのではないでしょうか。
辞書攻撃はその心理が分かっているので、よく使われるパスワードを辞書のように蓄積し、より確度の高い攻撃手段として使っています。

はじめの一歩はパスワードの見直し

上述の2つの攻撃ですが、桁数が少ない・安易な英数字であるほどパスワードが特定されやすくなってしまいます。
ですのでまずはパスワードを複雑化するのが第一歩です。

パスワードを自動生成できるWEBサイトがあるのでぜひ活用してください。
最低でも英数字の組み合わせで12桁以上で設定すれば、私達が生きてる間に本物の量子コンピュータが実現しない限りは使用に耐えられるパスワードになります。
パスワードを複雑化するだけでも、不正アクセスの攻撃を受けてもログインを簡単にさせないという対策になります。
もちろん12桁だからといって覚えやすい英単語や数字に組み合わせは使わないようにしましょう。「birthday0123」なんてパスワードにしたら効果がありません。自動生成サイトで作ったランダムな12桁で設定しましょう。

WordPressならプラグインが簡単

ここまででパスワード自体の複雑化が終わったので、いよいよWEBサイト本体のセキュリティ向上です。
2022年時点でWEBサイト制作で最も利用されているシステムはWordPressで、そのシェアが40%くらい占めているので、WordPressでのセキュリティ向上方法をご紹介します。

WordPress業界でもセキュリティ関係のニーズは高いので、数え切れないくらいのセキュリティ系プラグインがありますが、シンプルさや設定の楽さを踏まえると個人的には『SiteGuard WP Plugin』がいいかなと思ってます。

不正アクセスを防ぐ方法ブルートフォースにしても辞書攻撃にしても、ログインページへの複数回のパスワード入力が行われるため、短時間で何度も入力失敗したら一定時間アクセスさせなくするだけで、不正アクセス側の効率を一気に落とせます。
SiteGuard WPをインストールしたらそのメニューの中に「ログインロック」があり、たとえば「ログインを3回失敗したら5分間のログインを禁止する」といった設定が簡単にできます。(上画像)

不正アクセスを防ぐ方法また、WordPressはシェアが大きいため仕組みを知っている人も世の中に多く、ログインページURLもすぐ特定できてしまいます。
実はログインページのURLを変えるだけでもかなりの不正アクセスを減らすことができ、これもプラグインで簡単に設定できます。
SiteGuard WP Pluginの「ログインページ変更」画面でログインページのURLを任意のものに変えられます。ここで特定されないようなランダムな英数字にすれば、セキュリティがかなり向上します。
併せて「 管理者ページからログインページへリダイレクトしない」もチェックを入れましょう。これをチェックしないと、適当なURLでアクセスした時にWordPressの標準機能で自動にログインページへ誘導されてしまうので、URLを変えた意味がなくなってしまうためです。

不正アクセスを防ぐ方法また、WordPressは機能性が高いゆえに外部から操作できる機構がありますが、そこを悪用されるパターンもあります。
その場合は「XMLRPC防御」の中の「XMLRPC無効化」をチェックして機能をONにするだけです。

3つの設定を挙げましたが、これをやるだけで不正アクセスの攻撃をかなり減らせます。
プラグインを導入して最低でも上記3つの設定をするだけなので30分も掛からずに、WEBサイトの安全性と心の安寧が得られます。
書き忘れてましたが、もちろんSiteGuard WP Pluginは無料です。
ぜひセキュリティ向上にお役立てください。


ビーズクリエイトは長野県東御市にある唐沢農機サービスという農機具屋を母体とした、WEBサイトの制作・コンサルティング事業を展開する部門です。
WEBサイトを通した自社の知名度や評判の向上、問い合わせや商品注文などの売上増などのお悩みについて、WEBサイトの制作やコンサルティングといった形でお手伝いさせていただいています。

◆ビーズクリエイト公式サイト
https://www.bscre8.com

ビーズクリエイトでは新卒・中途、WEB業界の経験・未経験者を問わず求人を受け付けております。
WEB業界で何かを成し遂げたいという気持ちをお持ちの方は、是非お声がけ下さい。

◆当社リクルートサイト
https://recruit.karasawanouki.co.jp

ito

ito

9268

プロフィール

ビーズクリエイトで主にディレクション・コンサルティング・分析等を担当しています。

関連記事

ビーズクリエイト スタッフブログ【ビーズライフ】へようこそ。こちらではビーズクリエイトスタッフが日々学んだことのアウトプットや、お客様の役に立つ情報を発信しています!