WordPressのセキュリティ対策の一つ、ログイン情報に関して、緊急かつ重要なことをお伝えします。それは何かというと・・・あなたのログインユーザー情報がダダ漏れ状態かもしれないということです。
「アカウント情報の漏洩に気をつけましょう」、「WordPressのログインURLを変更しましょう」と、あなたのサイトを不正アクセスやハッキングから守る9つのセキュリティ対策という記事でお伝えしたのですが、それを行なっていても、ある対策をしていないとそれが無駄になり、簡単にログインされてしまう可能性があります。
今回は、その原因と対策について紹介します。
今すぐチェック!あなたのログイン情報は大丈夫!?
まず、最初に、次の2つのURLを入力してみてください。
- https://あなたのサイトのURL/wp-admin
- https://あなたのサイトのURL/wp-json/wp/v2/users
入力した時、あなたのサイトのTOPページに移動したり、404エラーやRese_disabled(無効)が表示された場合、これからお伝えする問題に関しては、あなたのサイトのセキュリティは大丈夫です。この記事を読み続ける必要がありません。
しかし、ログインページが表示されたり、ユーザー情報が表示されたりしていたら、あなたのサイトは、不正アクセスされるリスクが高くなります。引き続き、最後までこの記事を読み続けてください。
ログインページに移動するWp-admin
1つ目のURLを入力した際に、WordPressのログインページが表示された場合、セキュリティ対策のために、ログインURLを変更していたとしてもそれが無駄になっている状態です。
これは、ログインページへのリダイレクト機能を無効化していないことが原因です。これを無効化していないと、WordPressの“おせっかい”機能であるアタのサイトのURL/wp-adminと入力すると、ログインページを変更していても、変更先のログインURLに移動されてしまいます。
つまり、ログインURLを変更した意味がなくなってしまうのです。
さらに、2つ目のURLでユーザー情報が表示された場合、あとは、コンピューターウイルスなどからブルートフォースアタック(総当たり攻撃)されてしまえば、パスワードが解析され、ログインされるのも時間の問題です。
ログインされてしまえば、情報を抜き取られたり、サイトを改ざんされたり、ハッキングの経由地になってしまったりと、やられたい放題になってしまいますから、これは避けたいですよね?
リダイレクト機能を無効にするには?
このwp-adminからログインページに移動さる機能を無効化する簡単な方法があります。それは、SiteGuard WP Pluginを利用することです。
このプラグインはWordPressのセキュリティ系を担う、重要かつ便利なプラグインで、しかも無料で利用できるので、おすすめです。
リダイレクト機能を無効化する手順は、
1.SiteGuard WP Pluginのログインページ変更をクリック
2.オプションの、“管理者ページからログインページへリダイレクトしない“にチェックを入れる
3.”変更を保存“をクリック
以上!簡単ですよね?
これで、wp-adminによるログインページへのリダイレクト機能が無効化されます。
確認のため、もう一度、https://あなたのサイトのURL/wp-adminにアクセスしてみてください。あなたのサイトのログインページではなく、TOPページに移動すればOKです。(ログインページに移動しなければOK)
ユーザー情報を公開するREST API
2つ目のURL、https://あなたのサイトのURL/wp-json/wp/v2/usersにアクセスした際に、ユーザー情報が公開されるのは、WordPressのREST APIが原因です。
このREST APIは何か?っていうと、正直、私もよくわかりません(汗)ただ、WordPressの開発者にとっては何かと便利な機能っていうイメージでいいと思います。
で、このREST APIを使うことによって、ユーザーや投稿、タクソノミー、その他のデータに対して、取り出したり、アップデートしたりできるというので、開発者にとっては便利なようです。
正直、一般のWordPressユーザーにとっては、ほぼ触ることのない機能なんですけど、その便利機能が、逆にセキュリティーを弱体化させる原因になっています。2番目に入力してもらった、URLがまさにそれにあたります。
何の対策もしていないと、あなたのサイトのURL/ wp-json/wp/v2/usersにアクセスした時に、ユーザー情報やユーザーIDが表示されてしまいます。
このユーザー情報は、ログインする際のユーザー名になるので、ここにアクセスされてしまうと、既にお伝えしたように、パスワードが解析されログインされるのも時間の問題となります。
REST APIを無効化する方法
このREST APIを無効化し、ユーザー情報を表示させなくする簡単な方法があります。それは、SiteGuard WP Pluginを利用することです。(再登場!)
SiteGuard WP Pluginの“ユーザー名漏えい防御”をクリックし、“ON”をクリックし、“変更を保存“をクリックすれば、ユーザー情報を表示させなくなります。
注意点としては、REST APIを利用しているプラグインがあれば、その機能も無効化されてしまうので、そのプラグインを除外プラグインに追加する必要があるということです。
ただ、正直、“どのプラグインがそれに該当するのか?“って普通はわからないので、その場合は、機能してないことに気づき次第、除外していくしかないです。
セキュリティ対策してくれる制作会社を頼ろう
今回紹介したセキュリティ対策と、過去記事「あなたのサイトを不正アクセスやハッキングから守る9つのセキュリティ対策」で紹介した内容、さらにセキュリティを強固にするためには、IPアドレスの制限を行えば、かなり、強固なセキュリティ対策になると思います。(IPアドレスの制限については、ちょっと注意が必要なのでまだ紹介してません。)
しかし、これらの対策を、あなたのWEBサイト制作の段階で実施してくれない制作会社というのは、単に、セキュリティ意識が低い制作会社さんという可能性もありますけど、“WEBサイトを作るだけ“の制作会社で、その後の運用のこととか考えていない可能性があります。
そういう制作会社と、長く付き合っていくというのは、あなたにとって、プラスにはならないと考えられますので、お願いするWEB制作会社を見直しすることをお勧めします。
もちろん、その際にエジカルを検討していただけると嬉しいです。