WordPressサイトを機械的＆網羅的な不正ログインボット攻撃から守る方法

WordPressを適当に運営しているとハッカーに乗っ取られてしまいます。
一旦乗っ取られるとやりたい放題にされてしまうので、今回は最低限のセキュリティを考えてみます。
セキュリティといっても、その対策は上を見ればキリがありません。

アメリカの国防総省並の対策を個人が取る必要はありません。

狙って来る方も、個人のウェブサイトを乗っ取ってもそれほどメリットはないので、そこまでがんばりません。機械的＆網羅的な不正ログイン攻撃が主要な乗っ取り攻撃になります。
この乗っ取り攻撃を防げれば、とりあえずはOKです。
また、セキュリティレベルを上げると、使い勝手は悪くなります。
最高のセキュリティはインターネットに接続しないことですが、本末転倒です。

というわけで、お手軽にサイトを守るという観点から、ビギナーができる対策をいくつか紹介したいと思います。

login画面にgoogle認証(reCAPTCHA)を設定する

というパーツを見たことがある人もいると思います。
google が不正なロボットによるログインかどうかを判定してくれます。
これによって、パスワードを機械的＆網羅的にトライして不正ログインを行うことができなくなります。

おすすめプラグインは、Login No Captcha reCAPTCHA　です。

設定も簡単ですのでおすすめです。

Login No Captcha reCAPTCHA　をインストールして、設定から「Login No Captcha」を開きます。

設定後、/wp-login.phpにアクセスすると、

reCAPTCHAのパーツがログイン画面に表示されます。

次回以降、ログインするたびに「私はロボットではありません」にチェックする必要がでてきますが、セキュリティは格段に良くなります。

もちろん手動でログインを試みてくる人にとってはこの防御策は意味がありませんが、パスワードを知らない第３者が手動でログインできる可能性はめちゃくちゃ少ないので、ビギナーにとってはこの対策で十分だと思います。

これでは不十分だと思う方にさらに強固な防御策を紹介します。

アクセスできるIPアドレス元を制限する

IPアドレスとは個々のネットワーク端末の住所です。

183.77.111.75

のような文字列がIPアドレスです。
ConoHa VPS & WordPress 超高速マシンKusanagiを使用したNginxサーバーにおけるIPアドレスによるアクセス制限を紹介します。

自分のIPアドレスを知る

「確認くん」などのサイトにアクセスしてIPアドレスを確認しましょう。

あなたのPCのIPアドレスが取得できれば、これを使ってあなたのWebサイトをホストするサーバーがアクセス制御できるようになります。

ログイン画面のみ第３者のアクセスを拒否する

第３者のアクセスをすべて拒否してしまうと、Webサイトのコンテンツを誰も見ることができなくなります。
それでは意味がありませんので、ログイン画面のみ特定のIPアドレス以外を拒否します。
nginxのhttp&ssl設定でこれを設定することで、アクセスを拒否することができます。