【ログイン画面、管理画面】入口のところって大丈夫？

不正アクセスの入り口って、OSやWordPressなんかのCMSのバグをついて侵入されるケースもありますが、実は正面玄関である「管理者のログイン画面や管理画面」から正々堂々とログインされる場合が多いんです😢

早速ですが、「管理者のログイン画面や管理画面」でやっておくべき具体的な設定内容 ”４つ” について説明します！

１．パスワードを複雑にする

まずは、ログイン画面の基本、パスワードを複雑なものに変更することからはじめましょう。

２．アドレスを変える

WordPressのログイン画面のアドレスの初期設定は、共通したアドレスになっています💦

トップページのアドレス(下の http://○○.○○ まで)のうしろ　/wp-admin のところが、WordPressで共通のアドレスです。

https://○○.○○/wp-admin

そこでWordPressを使っているブログやホームページのトップページのうしろに　/wp-admin を入力してしまえば、WordPressのログイン画面に到達することができます。

あとは、ユーザー名またはメールアドレスとパスワードが分かってしまえば、簡単にログインが可能です。

ユーザー名またはメールアドレスとパスワードなんか簡単にわかるはずがなくって、「心配ないよ！」って思ってる人もきっといますよねー😊

とにかく、みんな共通のこのアドレス（/wp-admin）はすぐに変えるようにしましょう！

大丈夫です！

簡単に変えることができるプラグインを紹介します。

まず、「SITE GUARD」のプラグインのインストールから説明します。

WordPressの管理画面から、ダッシュボードを開き、「プラグイン」を選択しよう。

画面の右上のキーワードに「SITEGUARD」って入力して検索しよう。

「SiteGuard WP Plugin」から「今すぐインストール」をクリック。

インストールが完了したら、「有効化」をクリック。

「SiteGuard」がインストールされました！

「SiteGuard」をクリックすると右画面に機能一覧がでてきます。

ここでは、「ログインページ変更」を選択しましょう。

「変更後のログインページ名」　ー　「https://lalako-lab/○○」の○○のところに、今後アクセスするアドレスを自分で考えてつくってみよう！

※注意なのが、ブックマークも変更する必要があるので気をつけてね！

※「オプション」ー「管理者ページからログインページへリダイレクトしない」に✓をつけよう。リダイレクトしてしまうと、アドレスを変えてわざわざログイン画面を見せないようにしたいのに・・・元も子もないですもんね！

念のため、変更したアドレスでログイン画面が見えるようになったか、必ずアクセスして確認するようにしよう！

３．ログイン回数制限をする

そのほか「Site Guard」はいろんなセキュリティ機能があります。

そこで、もう一つ「ON」にしておきたい機能が「ログインロック」機能です。

この機能を使うと、不正にログインしようと悪いことを考えている人が、もしもログイン画面までたどりついたとしても、ログインをためす回数を制限することができるんです！

「Site Guard」のプラグインをインストールすると、デフォルトではこの機能は「ON」になっています。

念のため、デフォルト設定がどうなっているか確認してみましょう！

まずは、「Site Guard」の「ログインロック」をクリックしてください。

デフォルト設定では、「期間」：5秒、「回数」：3回、「ロック時間」：1分となっています。

これは、5秒の間に計３回ログインに失敗したら、1分間その接続元IPアドレスからの接続が出来なくなるって意味なんです。不正ログインは、だいたいプログラムを使って機械的なアクセスをしてくるんでこれくらいの期間と回数が妥当な数字です。

ここは、デフォルト設定でOKですが、ロック時間は5分でもいいかもしれないですね！
もし、設定をかえるなら、一番下の「設定を保存」をクリックするのを忘れないでください。

４．IPアドレス制限もしくは、二要素認証を取り入れる

ここでやろうとしていることは、「ログインしようとする人物を特定」しようとする取り組みです。

(ログイン画面への)IPアドレス制限と、(ログインするときに）二要素認証の２つの機能を使うと、セキュリティもUPしますが、使い勝手もわるくなってしまいます。

IPアドレス制限をしてしまうと、固定のグローバルIPアドレスを準備する必要があります。

一般家庭のインターネットプロバイダは、だいたい毎回違ったグローバルIPアドレスを各家庭に割り当てられる仕掛けになっています。

仮に固定のグローバルＩＰアドレスが準備できたとしても、自宅やオフィスなど、決まった場所からでないとコンテンツの更新ができなくなってしまいます。

そこで、lalako-labがおすすめするのは、「二要素認証」の機能です！！

ここからは、この「二要素認証」について少し詳しく説明します。

通常は、

IDもしくは、メールアドレス　＋　ログインパスワード

この組み合わせが一般的ですよね。

ちなみにこの組み合わは、「記憶している人、知っている人」が認証できる仕掛けですよね。

でもこれって、IDとパスワードが漏れてしまったり、当てずっぽうで当たってしまう可能性があります。

「二要素認証」はこの組み合わせにもう一つ、別の「要素」を組み合わせることによって、この「漏れ、当てずっぽう」を対策しようとする認証方法なんです。

やり方はいろいろあって、

所有物 → スマホへのショートメッセージやアプリをつかったワンタイムパスワード

生体 → 指紋、虹彩、静脈、顔　などなど

これらの「要素」を組み合わせることによって、より強力に、「本来ログインさせたい人や、ログインしようとする人を特定」できます。

前置きは長くなりましたが、ここからは、WordPressのプラグインを使った「二要素認証」の取り入れ方について詳しく説明していきます。

まず、画面の右上のキーワードに「Wordfence」って入力して検索してください。

「Wordfence Security – Firewall & Malware Scan」から「今すぐインストール」をクリック。

インストールが完了したら、「有効化」をクリック。

①メールアドレスを入力し、②Wordfenceの条項とプライバシーポリシーを読んだ後、チェックをつけ、③CONTINUE　をクリックしよう。

「Wordfence」がインストールされました。

AppleのiPhoneの場合、「App Store」の検索窓に、「google authenticator」と入力し、検索し、まずは、アプリをインストールしておきましょう。

「Google Authenticator」がインストールできました！

次に、「Wordfence」にもどって「Login Security」をクリックしましょう。

「Two-Factor Authentication」タブから、Editing User：に、さっき入力した①メールアドレスがきちんと入っているか確認しましょう。

次に、画面右側の「DOWNLOAD」から、②リカバリーコードをダウンロードしておこう。

万が一認証が出来なくなった場合に、1回だけ利用できる復活コードなんです。大事にしまっておきましょう。

次に、スマホに戻って、「Google Authenticaor」を立ち上げ、右下画面の「＋」をタップし、

「QRコードをスキャン」を選ぼう。

そこから、またまた「Wordfence」にもどって、３つ上の画像【Two-Factor Authenticationタブ】の左画面③QRコードを読み取りましょう。

最後に、右下画面に、Google Authenticatorで④読み取った6桁の数字を入力し、⑤ACTIVEをクリックして完成です！

これで、「二要素認証」の準備ができました。

まずは、管理画面にアクセスして、ユーザー名またはメールアドレスとパスワードを入力しよう。

最初の画面で認証に成功すると、二要素目の認証画面が出てきます。

スマホの「Google Authenticator」を使って6桁の認証コードを間違えないように入力しよう！

正しければ、WordPressのダッシュボードホーム画面が開くはずです。

最後に・・・面倒くさがり屋におすすめの設定を紹介します。

毎回毎回、二要素目の認証がめんどうな人は、「Wordfence」の「LoginSecurity」をクリックし、画面の下部の「Allow remembering device for 30 days」に✓をいれ、「SAVE」をクリックしよう。

この機能は、1度ログインしたデバイスを記憶してくれていて、そのデバイス限定だけど、30日間は二要素目の認証を省くことができます。

以上です。わからないことがあれば、このブログの一番下の「コメント欄(質問内容をみんなと共有)」または、以下の「お問い合わせフォーム(LALAKO-Labにダイレクトメッセージを送信)」からなんでも聞いてください。

あわせて読みたい

お問い合わせ

今回も最後まで読んで頂いて本当にありがとうございました！