WordPress管理者ログイン画面にreCAPTCHA認証導入でセキュリティを格段に上げる方法│ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログです

WordPress管理者ログイン画面にreCAPTCHA認証導入でセキュリティを格段に上げる方法

これの出し方の説明です。

ん?はしょり過ぎ?

ほぼ全てのブログは不正アタックにさらされている!

以下、ここのブログのログイン認証のログです。

セキュリティを強化するためにあらゆる動作を記録していますが、WordPressログイン画面の認証だけでも、1日あたり20件くらいアタック受けています。セキュリティを破れないように徹底的に対策していますが。

たぶんここのブログに限らず99%の人は、同様の頻度でアタック受けていると思います。

ただ、それに気づいていないだけ。。。気づかずにログインされている人もいると思います。

WordPressデフォルトではセキュリティが弱い!

WordPressデフォルトでは認証は、ID + PASSWORDだけです。

非常に弱いです。

記録しているログインログを見ていたら

ADMIN

ADMINISTRATOR

ドメイン名の一部

というIDでのアタックが多いですね。

これらはIDには使用しないことをお勧めします。

reCAPTCHAとは

 

このブログにも一番下のコメントにつけましたが、「私はロボットではありません」のところですね。

知りませんでしたが、これはGoogleの買収した企業の技術のようです。

 

 

多くの人の疑問・・・

 

「こんなチェックボックスだけで効果あるの?」

 

そう思う人が大半だと思います。

それが、、、、効果大ありです。

チェックボックス一つだけのように見えて、実は、、、

・使っているコンピューターのタイムゾーンと時間
・IPアドレスとおおよその場所
・使っているコンピューターの画面サイズと解像度
・使っているウェブブラウザ
・使っているプラグインや拡張機能
・ページの表示に要した時間
・マウスをクリックした回数や、タップやスクロールの回数

GIGAZINE

Googleが開発を進めるウェブサイトの認証システム「reCAPTCHA」は、人間とボットを区別するためのシステムです。…

より引用

 

以上は一部でまだ他にも多数様々な動作を見て、ロボットか人間かを判別しているようです。

その動作というのは、非公開のようです。

セキュリティに関することを全部公開すれば、突破して下さいと、言っているような物だから、セキュリティに関することは全部は公開しないというのも分かります。

Google reCAPTCHAの登録方法

以下のサイトから登録します。

reCAPTCHA

reCAPTCHA is a security service that protects your websites …

 

1)ラベル名は何でもかまいません。覚えやすいものを入れて下さい。

2)最新版はv3ですが、調べましたが、あまりv.3に関する技術情報はあありませんでした。

v.3はチェックボックス入力の手間が省けて、より便利らしいですが、検証不十分なので、実績のあるv.2の「私はロボットではありませんチェックボックス」を今回選択しておきます。決してv.3がセキュリティ的に・・・という意味ではなく、あくまでも検証記事が現段階では少ないので、今回はv.2にします。

3)ドメイン名を入力

あと利用条件に同意するにチェックを入れて・・・

4)送信を押して登録完了

reCAPTCHA対応プラグインの導入

「Advanced noCaptcha & invisible Captcha」という名前のプラグインです。

こちらのプラグインをインストールして、画面のように設定すると、、、

ここの「Site Key」 「Secret Key」は

Google reCAPTCHAの設定画面の値を入力

 

この画面では変更せずにそのままです。

ブログ記事コメントとログイン画面のReCAPTCHA認証画面付与完了!

reCAPTCHA導入後~効果大~

reCAPTCHA導入後、スパムコメントの数ですが、以下のように変化しました。

2021/4/1~2021/4/7

BEFORE

178件

↓↓↓

AFTER

11件(94%↓)

 

94%スパムコメントが減少しました。

スパムコメントをあちこちしているのはロボットが大半ですが、若干は手動も混じっていると思います。

正確には出せませんが、ロボットによるスパムコメント撃退効果は99%以上あるのではないかな、と思っています。

reCAPTCHAはあくまでも「ロボットによるスパムコメント、不正ログイン」を排除するものなので、100%にならないのは仕方ないとしても、非常に効果が高いと思います。

もちろんブログだけでなく普通のサイト(個人サイト、企業サイト)でも対応可能です。

*企業サイトの半数はWordPressによって稼働されているようです。

 

関連記事

ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログです

ここ1週間、このブログを始め、あらゆる自分に関係する認証に不正アタックものすごくたくさん パスワードハッキングかけてくる…

これらも組み合わせて使うことができます。組み合わせて使えばセキュリティはかなり強固になります。