WordPressが今危ない!? 今すぐ確認すべきセキュリティ対策その1

13041502

WordPressサイト運営者のみならず、WEBサイトを運営している者ならば、それが初期WEB制作費用よりも遥かに大きな財産である事を認識する必要があります。
そして、あなたはその財産を守らねばなりません。
インターネット(貴方の財産)は常に多くの危険(ウィルス等)と隣り合わせなのです。

今年に入り、WordPressが稼働しているサーヴァーを狙った大規模な分散攻撃が報告されています。特に4月に入ってからはそれらは急速に加速しており、強力なボットネットの構築を目指しているのではないかという指摘もあります。

ボットネットとは、サイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことである。
-wikipedia

今年に入ってから加速的に、WordPressを狙った総当たり攻撃(Brute Force Attacks)による被害が報告されています。
一度ログインされてしまったら最後、サイトは改ざんされ、ウィルスが埋め込まれ、すべてのPHPファイルが書き換えられる被害にあって 泣いてもすまされない事となります。

WordPressユーザーならば皆Akismetは導入していると思いますが、それだけでは十分ではありません。
え? Akisumetって何? っていう方はこちら→

では、WordPressは危険なのか?
いや通常のWEBサイトに比べれば逆に安全と言えるかもしれません。FTPを使用しなくても良いため、サイト改ざんの可能性は低く、何よりもWordPressにはそれらに対応すべき多くのプラグインでセキュリティのカスタマイズが可能だからです。

総当たり攻撃 (そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組み合わせを全て試すやり方。力任せ攻撃、もしくはカタカナでブルートフォースアタック(英:Brute force attack)とも呼ばれる。
-wikipedia

まずはこのプラグインを入れて!
WordPress管理画面への不正アクセスを遮断するプラグイン

WordPressは間違ったログインIDやPWで何度でもログインチェレンジが可能です。
このプラグインはそれを防ぎます。サーバーによっては標準インストールされているプラグインのようです。
このプラグインを入れておけば設定回数分ログインに失敗するとロックされるというものです。
回数やロックされる時間等は設定可能です。

インストールはプラグインの新規追加からLimit Login Attemptsを検索してインストール→有効化
それだけです。

プラグインのサイト→
日本語化を公開してくれているサイト→

ユーザーIDがadminの人は直ぐに変更を!

最近のWordpressはインストールの際にログインIDを指定出来ます。デフォルトではadminです。
昔からのユーザーは皆adminなので IDがadminだと狙われやすいと言えます。

IDがadminの方はダッシュボードメニュー ユーザー→新規追加からあたらしいアカウントを作りましょう。
権限は管理者です。

一度ログアウトし、新しいアカウントでログインします。
次にユーザー一覧からadminを削除します。

ユーザーを削除する時に 気をつけなくてはならないのは、
・すべての投稿を以下のユーザーにアサインという項目にチェックを入れることです。
これをしないとadminで投稿した記事が全て消えてしまいます。

13041501

ちょっと今日は時間が無いので データーバックアップやセキュリティの強化の続きはまた明日にでも書きます。

最低限 ユーザ名の変更とログインチャレンジ設定のプラグ・インは導入しておきましょう。

may the force be with you.