🔐【第4回】「実は攻撃されていた!?WordPressのセキュリティ対策」
wp1026-writer
📢 「個人のブログだから大丈夫?」→ それ、大間違いです!
ある日、WordPressの管理画面(SiteGuard)でログイン履歴を見てみたら…
👀 不審なログイン試行の履歴がズラリ!
📌 海外のIPアドレスから何度もログインを試みていた
📌 XML-RPCを狙った攻撃も発生していた
「えっ…こんな普通のブログでも攻撃されるの?」と思いましたが、 WordPressサイトは どんな規模でも攻撃対象になるようです!
そこで、「最低限やるべきセキュリティ対策」 を実施しました!
🔍 WordPressが攻撃される理由とは?
✅ WordPressは世界で最も使われているCMS(シェアが高い → 攻撃者も多い)
✅ デフォルト設定のままだと、簡単に狙われる
✅ 無差別攻撃(総当たり攻撃)が日常的に行われている
✅ 脆弱なプラグインやテーマが狙われることも
📌 つまり、何も対策していないと「カモ」にされる可能性が高い!
🛡️ WordPressの最低限やるべきセキュリティ対策
1️⃣ XML-RPCを無効化する(SiteGuard WP Plugin) 🚫
✅ XML-RPCは外部からリモートで操作できる機能 → 攻撃の標的になりやすい!
✅ SiteGuardの「XML-RPC無効化」をONにするだけでOK!
✅ これでXML-RPCを使った総当たり攻撃(ブルートフォース)を防げる!
📌 「自分のサイトも攻撃されているかも?」と思ったら、SiteGuardのログイン履歴をチェック!
2️⃣ ログインURLを変更する(wp-adminの隠蔽) 🔑
✅ WordPressのデフォルトのログインURL(wp-admin)は狙われやすい
✅ 「WPS Hide Login」などのプラグインを使ってURLを変更!
✅ 不特定多数の攻撃をブロックできる!
📌 私はすでに変更済みだったが、設定していない人は今すぐやるべき!
3️⃣ ログイン試行回数を制限する(SiteGuardの「ログインロック」機能) 🔒
✅ 「3回間違えたら一定時間ログイン不可」にする設定をON!
✅ これで総当たり攻撃を防げる!
✅ ログイン履歴をチェックして、不審なIPがないかも確認!
📌 設定方法:「SiteGuard」→「ログインロック」→ 3回失敗でロック(推奨)
4️⃣ セキュリティプラグインを導入する 🛡️
✅ SiteGuard WP Plugin → 不正ログイン防止・WAF設定
✅ Wordfence Security → 悪意のあるアクセスをブロック
✅ Sucuri Security → マルウェアスキャン・サイト監視
📌 最低でも「SiteGuard WP Plugin」は入れておくと安心!
5️⃣ 強力なパスワードを設定する(英数字+記号を混ぜる) 🔐
✅ 短くて簡単なパスワードは危険!
✅ 12文字以上&大文字・小文字・数字・記号を組み合わせる
✅ パスワード管理ツール(1PasswordやBitwarden)を活用するのもおすすめ
📌 「admin」などのシンプルなユーザー名は避ける!
🚀 セキュリティ対策チェックリスト
✅ XML-RPCを無効化(SiteGuard)
✅ ログインURLを変更(wp-adminを隠す)
✅ ログイン試行回数を制限(SiteGuard)
✅ セキュリティプラグインの導入
✅ 強力なパスワードを設定
💡 これだけで、ほとんどの攻撃を防ぐことができます!
🔥 まとめ:「個人サイトでも狙われる!対策は必須!」
「自分のサイトは大丈夫だろう」と思っていたら、知らない間に攻撃されていました。
でも、最低限の対策をするだけで、こうした攻撃はある程度防げます!
📌 「WordPressを使っているなら、今すぐセキュリティを見直してみよう!」
サイトの安全を守るために、できることから始めてみてください!🔥
