WordPressでブログを始めて数日。プラグイン導入などの初期設定に手いっぱいでまだ記事も書き始めていない状態だったのに、ある日ふと管理画面にログインしようとしたところ、見慣れない表示が出てきました。
「ログイン試行回数が制限に達しました。しばらくアクセスできません。」
え…何これ!?
ロックが解除されてから急いでログイン履歴を確認してみたら、「ログイン失敗件数:238回」という数字が並んでいて、全身の血の気がひいたのを覚えています。
まだ誰にもブログのURLを教えていないし、SNSにも載せていない、そもそも記事1本も書いてない。
なのにどうして?アクセス解析もゼロだったはずなのに?と、不安だけが膨らんでいきました。
「もしかして、どこかから自動的に攻撃されてる……?」
まさか、自分の小さなブログがそんな目に遭うなんて思ってもいなかった私は、急いでネットで対策を検索。けれど、出てくる情報は専門用語ばかりで、どこから手をつけていいのかも分かりません。
試行錯誤の結果、プラグインのある設定をオンにしたら、ログイン攻撃がぴたりと止まりました。
この記事では、WordPress初心者の私が実際に遭遇した「不正ログイン未遂」体験と、その対処法についてまとめています。
同じように「ログイン履歴に見覚えのない失敗がある」「まだ何もしていないのに攻撃されてるかも…」と不安な方に向けて、自分でできた対策をわかりやすくご紹介していきます。
WordPress開設直後に不正ログイン攻撃!?
ブログを開設してほんの数日。テーマを設定したり、プラグインを入れてみたり…と、まだ全然コンテンツも整っていない時期でした。
そんなある日、WordPressのログイン画面で、なぜか「ロックがかかってログインできない」という状況に出くわしました。最初は自分の入力ミスかと思っていたのですが、よく見るとログイン試行回数に関する注意文が…。
不思議に思って、ログイン履歴を確認してみると、
なんと、「ログイン失敗件数:238回」という異常な記録が残っていたのです。
しかもログインユーザー名には、admin や test、存在しないユーザー名などが使われており、「手当たり次第にログインを試みている攻撃」だとすぐにわかりました。
「まだブログ公開もしていないし、誰にもURLを教えてないのに?」
「セキュリティ対策に推奨されていたプラグインも入れて、設定も行ったのに」
と、頭の中が「なぜ?どうして?」でいっぱいになりました。
後から知ったのですが、こうしたランダムな自動攻撃(ブルートフォースアタック)は、WordPressのサイトであれば公開直後から対象になり得るそうです。つまり、「自分のサイトは小さいから大丈夫」と思っていたのは完全に甘かったんですね。
初心者の私にとって、「自分が今、攻撃されてるかもしれない」という状況はとにかく怖くて、何から手をつけていいかも分からず、本当にパニック状態でした。
まずはすぐパスワード強化+SiteGuardの設定で対策
「これはランダムな攻撃だ」と頭では理解しても、「このまま乗っ取られたらどうしよう…」と、混乱状態。
とにかく怖くなって、「WordPress ログイン 失敗 多い」「不正アクセス 対策」「乗っ取り 防止方法」といったキーワードで、検索しまくりました。出てくる記事の多さに驚きつつも、同時に用語の難しさにもびっくり。
中には「FTPでファイルを書き換える」とか「セキュリティ設定をサーバー側で変更する」といった難しそうな手順も書かれていて、初心者がひとりでやるには無理かも…と絶望しそうになりました。
でも、だからといってこのまま何もしないのはもっと怖い。
せめて自分でできることだけでも、今すぐやっておこうと思いました。
まず最初にやったのは、WordPressのログイン情報を強力なものに変更すること。
その後も分からないなりに色々調べていると、「XMLRPC」という機能が狙われやすいという情報を見かけました。
最初から入れていたプラグインの「SiteGuard WP Plugin」の設定の中に「XMLRPC防御」という項目があるのですが、私はそこをオンにしていなかったんです。
この設定をオンにしたところ、それまで続いていたログイン攻撃が、ピタッと止まりました。
なぜこの設定が効いたのか? 次のセクションでは、初心者にもわかりやすく「XMLRPCとは何か」「なぜ狙われるのか」について解説します。
XMLRPCとは?なぜWordPress初心者が狙われやすいのか
「XMLRPC(エックスエムエル・アールピーシー)」は、WordPressに最初から備わっている機能のひとつで、外部のサービスやアプリからサイトにアクセスしたり、操作したりするための「裏口」のようなものです。
たとえば、
- スマホアプリから記事を投稿する
- 外部ツールでコメント管理やピンバック通知を行う
といった用途のために使われます。
ただし現在では、この機能を実際に使っている人はかなり少数のようです。特に初心者や個人ブロガーなら、まず使うことはないかもしれません。
問題は、このXMLRPCが悪意ある第三者からの攻撃ルートとして利用されやすいという点です。
具体的には、
xmlrpc.phpというファイルに対して- ログイン情報(ユーザー名+パスワード)を
- 自動で何百・何千通りも送信する
といった「ブルートフォースアタック(総当たり攻撃)」が可能なんです。
しかもこの攻撃は、通常のログイン画面とは別ルートで行われるため、ログイン制限の回数制御が効かないケースもあるのが怖いところ。
でも、ここで登場するのが「SiteGuard WP Plugin」のXMLRPC防御機能です。
この設定をオンにすることで、
👉 xmlrpc.php自体へのアクセスをブロックする
👉 結果として、ブルートフォース攻撃を根本から遮断できる
という、非常に有効な対策になります。
私の場合も、この設定をオンにしてからは、ぴたりと攻撃が止まりました。
SiteGuardの設定手順|XMLRPC防御のやり方を初心者向けに解説
ここでは、実際に私が設定したSiteGuard WP PluginでのXMLRPC防御の手順を、初心者向けにざっくりご紹介します。
まず前提として、「SiteGuard WP Plugin」がすでにインストールされていることを確認してください。まだの方は、WordPressの管理画面の「プラグイン」→「新規追加」で「SiteGuard」と検索し、インストール&有効化しましょう。
インストール済みであれば、以下の手順で設定できます。
XMLRPC防御の設定手順(超かんたん)
- WordPress管理画面の左側メニューから
→【SiteGuard】→【XMLRPC防御】をクリック - 「XMLRPC無効化」にチェックを入れる
- 画面下の【変更を保存】をクリック
これだけで設定は完了です!
今後は、xmlrpc.php への外部アクセスがブロックされるようになります。
特にXMLRPCを使う予定がない人(ほとんどの初心者ブログは該当します)にとっては、セキュリティ強化のために最初にやっておくべき設定のひとつだと感じました。
ちなみに、SiteGuardにはこの他にも「ログインページ変更」や「画像認証」など、セキュリティを高める設定がいろいろあります。
今回はXMLRPC防御にフォーカスしていますが、他の設定もぜひ行っておいてください。
【まとめ】WordPress初心者が今すぐできるセキュリティ対策
WordPressを開設したばかりなのに、まさか不正ログインを狙われるとは思ってもいませんでした。
でも実際には、公開している以上、どんなに小さなブログでも攻撃対象になる可能性があるんだと痛感しました。
そんな中で私がやってみて効果を実感できたのが、「SiteGuard WP Plugin」のXMLRPC防御設定。
難しいコードも不要で、チェックを入れて保存するだけでOKという手軽さなのに、それだけでログイン攻撃がピタリと止まりました。
もちろん、これだけで完璧に防げるとは限りませんが、
「まずは自分で守れることをしておく」という一歩が、すごく大事だと思います。
この記事が、私と同じように困っている初心者さんの参考になれば嬉しいです。
あなたのブログを、あなた自身で守るために。
今日できる対策から、少しずつ始めてみてください。