WordPressのログイン認証画面に３段階認証のプロテクションをかける方法

今回は、私が一日に１００件以上のブルートフォースアタック（総当たり攻撃）を受けるようになったことを機に、実際に導入している対策の一つをシェアしよう。

ひと言でいえば、ダッシュボード（ログイン後の管理画面）まで突破されないための対策である。

当時は一日に１００件以上攻撃を受けていたが、今回シェアする対策によって完全にゼロになった。

少し長くなるが、読み進めながらそのとおりにしていただければ問題なく実装できる。対策がまだの方は今すぐ実装しておいたほうがいいだろう。

ブルートフォースアタック（総当たり攻撃）とは

ブルートフォースアタックは日本語でいう「総当たり攻撃」。暗号解読方法のひとつで、ワードプレスのログイン認証画面にかけられたパスワードを破ることが目的である。

パスワードとして可能な組み合わせを片っぱしから試して侵入を試み、ワードプレスがそのターゲットになっている。

また、以前のワードプレスではユーザー名が「admin」と決まっていたので変更ができない状態にあった。そのため、パスワードさえわかれば侵入が可能になるので、ユーザー名を「admin」から変更していないユーザーやユーザー名の変更方法を知らないユーザーを狙った攻撃と思われる。

ユーザー名を変更する方法はあるが、手順を間違えるとすべてのデータが消えてしまう可能性があるので今回は誰でもできる方法を紹介しようと思う。

投稿者名を変えてもユーザー名（WordPressのログインID）は見えている

ワードプレスは、ユーザーのプロフィール設定からニックネームに設定した文字列で投稿者名を変更することが可能だ。しかし、これは表示そのものの見せ方を変更できるだけであって、 ダッシュボード（管理画面）にログインする際のユーザー名まで隠せるということではない。

各記事に表示される投稿者名には投稿者ページに飛ぶリンクが入っており、これをクリックすることで…

という形でURLに表示されてしまう。仮に投稿者名を非表示にしていても、「 http://サイトURL/?author=ID 」でユーザー名は簡単に調べることができてしまう。

表にそのまま出ていないだけで、管理画面に外部からログインする際のユーザー名を確認する方法はすぐそこにあるのだ。

私は当初「admin」で攻撃を受けていたが、途中から実際のユーザー名で攻撃を受けるようになった。どこから漏れたのか当時はわからなかったが、いろいろ調べたことでその原因が判明した。

そこで、この問題をすぐに解決する手段として、投稿者スラッグ（URL）を任意に変更できるプラグインがあるので紹介しておこう。

投稿者スラッグ（URL）を任意に変更できるプラグインがある

このプラグインは、投稿者アーカイブのURLとなる投稿者スラッグを自由に変更、設定できるプラグインである。

自由に文字列を変更でき、表示の仕方も選べるようになっている。実際とは異なるユーザー名で表示の代役をお願いできるプラグインと言えるだろう。

あなたやあなたのサイトと無関係の文字列に設定しておけば、あなたのユーザー名が第三者に捲れたり、推測されるリスクを大幅に減らすことが可能になる。

なお、このプラグインは管理者の場合、全権限を所有することになることも併せて覚えておいてほしい。複数人でサイトを管理している場合、あなたひとりが管理者でサイトを運営していない場合は、投稿者や編集者権限のユーザーを別で用意するという方法もある。

投稿者スラッグの値を自由に変更！Edit Author Slugプラグインのインストールと設定

ワードプレスのログイン認証画面はパブリックに公開されている

ワードプレスのログイン認証画面は、サイトのURLから簡単にその手掛かりを拾えるようになっている。

対策をしていない場合は、投稿者ページのURLからユーザー名までわかってしまう仕様だ。あとは、パスワードさえ合致すればダッシュボード への侵入が成功する。

これが攻撃を受ける原因だろう。

ログイン認証画面のURLはfunction.phpから変更することもできるが、CSSやJSの知識がないと難しい。

そこで、もうひとつ紹介したいのが「Limit Login Attempts」というプラグイン。

過去に攻撃を受けたIPアドレスに対し、設定に応じてダッシュボードへのアクセスをブロックするというのものである。

という方は試してみてはどうだろう。

「Limit Login Attempts」については後ほど解説することにする。

長くなったので、そろそろ３段階認証の手順とその解説をしていこうと思うが、全体の流れをイメージしていただくために、先にその流れを画像で示しておくことにする。

３段階認証の流れ

１．ログインする際のURLにアクセスすると認証画面を表示する前にBASIC認証が起動。（画像：Google Chrome）

２．BASIC認証に成功したのちに認証画面を表示。
（ Limit Login Attemptsを導入している場合は設定に応じて入力ミスをしたIPアドレスをここで排除 ）

３．ユーザー名とパスワードが認証されるとダッシュボードを表示する前に管理者メールアドレスへ最終認証パスを自動送信。

４．メールに記載されているパスワードが設定時間内に正しく入力されるとダッシュボード（ログイン完了）を表示。

こんな感じである。

ダッシュボードまでに３段階認証のプロテクションを設置

この３つのプロセスを一度もミスすることなくすべて一回で突破しない限り、ダッシュボードにはたどり着けない。

仮に「BASIC認証」を突破しても 、ログイン認証画面でミスをすれば「Limit Login Attempts」で弾かれ、「Limit Login Attempts」で設定されているリミットを超えるミスをすると、当該IPアドレスに自動でロックが掛かり「Spirits and Goblins（ワンタイムパスワード）」の画面まで辿りつくことは不可能。

さらに「Spirits and Goblins（ワンタイムパス）」の最終認証パスは、管理者のメールアドレスだけにその都度変わるワンタイムパスワードを送信する。パスワードの桁数から有効時間まで管理者の任意に設定されているので、管理者以外がダッシュボードまで侵入するのは物理的に不可能といえるレベルである。

ここからこれらそれぞれの設定と解説に入るが、下記に記述するとおりにやっていただければ問題なく起動と設置ができるので安心してほしい。

BASIC認証

BASIC認証はアクセスを制限する一般的な方法だ。導入すれば、アクセスしたURLの画面を表示する前に下記のような画面が表示される。

ここでの認証を突破しない限り、ワードプレスのログイン認証画面は表示されない。ユーザー名とパスワードを入力する画面すら出ないということである。

Google Chromeの表示

FireFoxの表示

ダッシュボードへのアクセスはもちろん、ログイン認証画面へのアクセス自体を防ぐことができるので、攻撃または不正アクセスそのものを未然に防ぐことが可能だ。

BASIC認証の設置方法

ワードプレスをインストールしている場所へ.htaccess .htpasswdの２つのファイルを設置する。

.htaccess .htpasswdファイルの作成は共にテキストファイルで構わないが、通常「.（ドット）」で始まるファイル名を作ることはできない。

拡張子を非表示にしている場合はhtaccess htpasswd、表示している場合はhtaccess.txt htpasswd.txtで作り、サーバーにアップロードした後にファイル名の編集から.htaccess .htpasswdに変更するといい。

ファイル作成からアップロードまでの流れ

アップロードしてから編集で記述するか、記述してからアップロードするかは自由であるが、すでにワードプレスをインストールしていれば、.htaccessというファイルが見つかるはずだ。

このファイルを開くと、ワードプレスに関する記述があるので下記のコードを追記する。

.htaccess の作成と追記

<Files wp-login.php>
AuthUserFile /home/…/.htpasswd
AuthGroupFile /dev/null
AuthName “Please enter your ID and password”
AuthType Basic
require valid-user
order deny,allow
</Files>

追記場所は「# END WordPress」の下で大丈夫だが、2行目の「AuthUserFile」だけ修正が必要となる。

２行目のAuthUserFileは/home ～ /.htpasswdまでのフルパスを記述しなければならない。

BASIC認証が正しく機能しない原因の多くは、２行目のフルパスの誤りが大半を占める。

.htpasswdへのフルパスは人によって異なるので、ご利用サーバーの管理画面などを参考にしよう。

それでもわからない場合は、ワードプレスをインストールしている場所（ディレクトリまたは.htaccessファイルがある階層）に新規ファイル作成で下記のコードを「.php」で保存する。

フルパス確認コード

.htpasswdへのサイトパス（フルパス）は、下記のコードを”index以外の任意のファイル名（.php）で保存”し、ブラウザ表示することで確認が可能だ。

<?php
echo __FILE__;
?>

このファイルをサーバーからブラウザ表示することで、あなた自身のフルパスがブラウザにテキストで表示される。

最後の「/」の右にあるファイル名 ●●●.php を .htpasswd に変更したものがフルパス

上の場合だと、fullpasssearch.php → .htpasswdとなる。

.htpasswd の生成

続いて.htpasswdを作る。

.htpasswdの生成は上記サイトのベーシック認証を活用するといい。

.htpasswd 作成の流れ

.htpasswd 作成の補足と解説

桁数は１０（デフォルト）は、パスワードを１０桁でランダム作成するためのもの。自分でパスワードを設定する場合は「１０」と「ランダム作成」は触らない。

ユーザー名とパスワードを入力したら「.htpasswdを作成」をクリックする。

「.htpasswdを作成」をクリックすると、.htpasswdの欄に「ユーザー名：変換後のパスワード」が自動で表示されるが、勝手に生成された変換後のパスワードに驚く必要はない。

変換後のパスワードは「.htpasswd」のファイル上でのみ使用し、実際のBASIC認証ではSTEP1で入力したユーザー名とパスワードを使用する。

STEP2は.htpasswd作成後に.htaccessに記述する流れを示しているものなのでここでは関係ない。

また、実際の.htpasswdまでのサイトパス（フルパス）は画像の例のように短いものではない。

.htpasswd 作成時の注意

当たり前だが、ワードプレスログイン時の認証に使用するユーザー名とパスワードは絶対に使わないように。同じにすると、ログイン認証画面の前にBASIC認証を設置する意味がなくなる。

万が一、BASIC認証を突破されるとワードプレスのログイン認証画面も突破されることになるので、絶対に類似しない、連想できない別々のユーザー名とパスワードを設置するようにしてほしい。先でも記述したが、.htpasswdは「ユーザー名：パスワード」という形で作成され、パスワードだけは変換される。

変換後のユーザー名とパスワードをそのままテキストファイルに貼り付けて.htpasswdというファイル名で保存する。

※パスワード末尾にスペース、改行を入れずに保存する。

.htaccessファイルと同じ階層（ディレクトリ）にアップロードし、ファイル名をhtpasswdから.htpasswdに変更して完了だ。

.htpasswd まとめ

実際のBASIC認証の際に入力するパスワードは変換前のパスを入力する。変換後のパスは.htpasswdのファイル上でのみ使用し、実際の画面で変換後のパスを記述しても認証しないので気をつけてほしい。

ファイルを保存する際は、ファイル名や本文の末尾などにスペースや余計な記述が入っていると正しく動作しないので、こちらも併せて注意が必要である。

BASIC認証の設置が完了したら一度ワードプレスをログアウトし、必ずテストを行う（別のブラウザでテストする場合はログアウトの必要はない）。

まれに、画面は起動するのに機能していない場合があるので、正しいユーザー名とパスワード、間違ったユーザー名とパスワードでそれぞれ正しく動作するかを確認しておこう。

画面は表示されるのに機能していない場合は、フルパスの誤りが原因の可能性が高い。

その場合は、フルパスの確認を行ってみよう。

すべてに間違いがなければ、ワードプレスのログイン認証画面にアクセスしたときに下記の画面が立ち上がる。

Google Chromeの表示

FireFoxの表示

BASIC認証をかけられるプラグインがある？

BASIC認証を設置できるプラグインに「WP BASIC Auth」がある。

このプラグインは.htaccessファイルやパスワードファイルを編集する必要はないが、ウェブサイト自体にBASIC認証をかけるプラグインで、ログイン認証画面にBASIC認証をかけるプラグインではない。

制作途中のWebサイトや外部の人に一時的にサイトを表示させたくない場合に使用するものだ。

また、管理画面にログインしている際はBASIC認証のアクセス制限はかからない。

しかも、このプラグインのBASIC認証で使用するユーザー名とパスワードは、ワードプレスのログイン認証画面に使用するユーザー名とパスワードになるので、セキュリティとして使用するのにはまったくもって意味がない。

制作途中のWebサイトや外部の人にサイトを表示させないのが目的なら、公開までのカウントダウン機能や背景画像を自由に変更できるうえに、任意のメッセージやコンタクトフォームまで実装しているプラグイン、「WP Maintenance Mode」のほうがニーズに合っているだろう。

Limit Login Attempts

プラグイン： Limit Login Attempts（作成者: Johan Eenfeldt）

ワードプレスの認証画面はパブリックに公開されているで触れたプラグイン、「Limit Login Attempts」について解説する。

「Limit Login Attempts」は、ログインを試みたときに生じたミスが、設定されている条件を超えたときに特定のIPアドレスをブロックするプラグインである。

一度ブロックされたIPアドレスは、仮に正しいユーザー名とパスワードを入力したとしても、設定されている期間が過ぎるまではログインができなくなる。

当プラグインはIPアドレスで規制をかけるため、単純な入力ミスなどが原因で管理者本人がブロックの対象になった事例も出ている。

これを「締め出し」というが、その場合はワードプレスからのログインが遮断されるので、入力の際は細心の注意を払うようにしよう。

万が一締め出しにあった場合は、直接サーバーからログインを妨げているプラグインを削除することでログインが可能になる。

ワードプレスにインストールしたプラグインは「wp-content > plugins」内に格納されているので、導入前に確認しておくといだろう。

設定画面：　設定　 　Limit Login Attempts

これらの設定は任意に変更が可能である。

「Limit Login Attempts」のインストール

最終認証にワンタイムパスを設置

プラグイン：Spirits and Goblins（作成者: wokamoto）

「Spirits and Goblins」は、楽天銀行やジャパンネット銀行などのネットバンクなどが導入しているワンタイムパスワードと同じような機能をもつプラグインである。パスワードの桁数、パスワードの有効時間を秒単位で決めることができる優れものだ。

最初にお伝えしておくが、このプラグインは「有効化」の際にエラーが出る場合がある。

作成者が「PHP5.4」以上で作成しているため、エラーの表記に「PHP5.4」という文字が入っていれば、お使いのバージョンが「PHP5.3」以下である可能性が高い。

「有効化」の際に上のような画面が表示された場合は、対処法を下記に記載しておくので参考にしてほしい。

先ほど作成した.htaccess内からワードプレスの記述（# BEGIN WordPress）を探す。

<IfModule mod_rewrite.c>とRewriteEngine Onの間にAddHandler php5.4-script .phpを追記する。

これでエラーは出なくなるので、プラグイン一覧から「Spirits and Goblins (魍魎)」を有効化しよう。

有効化できたら、ワードプレスの設定の中から「Spirits and Goblins (魍魎)」を選択。

設定画面：　設定　　Spirits and Goblins (魍魎)

ここで「パスワードの長さ（桁数）」と「有効期間（秒）」をお好みで決めよう。プルダウンメニューの「メール」はそのままで構わない。

「設定　　一般」に記載されているメールアドレスへパスワードが届く。

このパスワードまで正しく入力してはじめてダッシュボードへのログインが可能となる。

Spirits and Goblinsプラグイン設定時の注意事項

間違っても有効期間（秒）を「5」とかにしないよう注意していただきたい。単位は「秒」である。

パスワード有効期間のカウントが始まるのはメールが開かれたときではなく、ログイン認証画面の「ログイン」ボタンが押され、ユーザー名とパスワードが一致した認証直後にカウントが始まる。

メールはすぐに届いても、受信から入力までの時間を考慮しておかないと、入力中にパスワードの有効期間が切れてログインできなくなる可能性があるからだ。

受信の準備（メールソフトを起動）をしてから最終認証パスを請求するか、認証直後に問い合わせをすればパスワードはすぐに届くはずだ。

私は６０秒にしているが、これはワンタイムパスワードが発行されてからメールが届き、入力が完了してから承認されるまでの猶予が６０秒であることを意味する。

仮にログインパスが破られても、そこから６０秒以内に最終の認証パスが承認されなければログインは拒否される。

その都度、管理者のメールにしか届かないパスで、しかもそのパスが６０秒で無効になるのは今考えられる最強のセキュリティかもしれない。

受信から入力までの時間を考慮して、１分～２分ぐらいはあったほうがいいだろう。

私の場合は、すぐにメールを受信できる状態にしてから認証作業に入るので６０秒で十分だが、お好みや環境で決めてもらって大丈夫だ。

Spirits and Goblins のインストール

ログインの試みを確認できるプラグイン（補足）

プラグイン：Crazy Bone（狂骨）

このプラグインは、アクセスを試みたIPアドレス、ユーザー名、パスワードを一覧で確認できるものである。

いつ、どこから、どのユーザー名とパスワードで攻撃を受けているかがわかるもので導入している人も多いだろう。

「Limit Login Attempts」でも確認できるが、BASIC認証を設置していない方は併せて導入しておいてもいいかもしれない。

Crazy Bone（狂骨）は日本語のプラグインなので、英語がわからない方でもそのまま使える。

あなたのワードプレスが一日にどのくらい攻撃を受けているかが目に見える形で確認できるだろう。

ログイン認証画面に reCAPTCHA（画像認証）を追加する

Google の認証などでよく見かける「私はロボットではありません」の reCAPTCHA。

これは、プラグインで簡単に実装することができる。

検索すると同じようなプラグインがいくつかヒットすると思うが、プラグインによって設定可能な範囲に多少のズレがあるので、環境に合わせて選んでもらいたい。

設定方法は割愛するが、「プラグイン名　設定」などで検索すると丁寧に解説してくれている記事に出会えるはずだ。

「サイトキー」と「シークレットキー」を設定することでログイン認証画面はもちろん、記事コメント欄やお問い合わせフォームにも設置することが可能である。

まとめ：WordPressのログイン認証画面に３段階認証のプロテクションをかけるセキュリティ対策

ワードプレスのダッシュボードへアクセスする際の認証画面のURLは全ユーザーに共通している。これだけは変えようがない。

ログインまで手間かもしれないが、そんなにしょっちゅう出たり入ったりを繰り返すことはないだろうし、破られるよりはマシである。

あなたが本当の管理者なら「BASIC認証　　Limit Login Attempts　　Spirits and Goblins」の３段階認証は２０秒もあれば十分だろう。

BASIC認証の設置ができない方でも、最後の「Spirits and Goblins」は今考えられる中でも最強の対策だと思うので、攻撃を受けたことがある方は「Limit Login Attempts」と「Spirits and Goblins」は導入しておくことをおすすめする。

一方で、

という人もいるだろう。そういう人は、最後に紹介したプラグイン「Spirits and Goblins」だけでも導入しておくことをおすすめする。

BASIC認証を設置される方は、ユーザー名とパスワードは忘れないよう保管しておこう。

もし忘れてしまった場合はプラグインと同様、サーバー内の.htaccess .htpasswdを止めると解除できる。

誰にでもできる、もっとも簡単かつ最強のセキュリティ。

ブルートフォースアタックの対策がまだの方は、この機会に導入しておくことをおすすめする。