WordPressが今危ない!? 今すぐ確認すべきセキュリティ対策その1
WordPressサイト運営者のみならず、WEBサイトを運営している者ならば、それが初期WEB制作費用よりも遥かに大きな財産である事を認識する必要があります。
そして、あなたはその財産を守らねばなりません。
インターネット(貴方の財産)は常に多くの危険(ウィルス等)と隣り合わせなのです。
ボットネットとは、サイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことである。
-wikipedia
今年に入ってから加速的に、WordPressを狙った総当たり攻撃(Brute Force Attacks)による被害が報告されています。
一度ログインされてしまったら最後、サイトは改ざんされ、ウィルスが埋め込まれ、すべてのPHPファイルが書き換えられる被害にあって 泣いてもすまされない事となります。
WordPressユーザーならば皆Akismetは導入していると思いますが、それだけでは十分ではありません。
え? Akisumetって何? っていう方はこちら→
いや通常のWEBサイトに比べれば逆に安全と言えるかもしれません。FTPを使用しなくても良いため、サイト改ざんの可能性は低く、何よりもWordPressにはそれらに対応すべき多くのプラグインでセキュリティのカスタマイズが可能だからです。
総当たり攻撃 (そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組み合わせを全て試すやり方。力任せ攻撃、もしくはカタカナでブルートフォースアタック(英:Brute force attack)とも呼ばれる。
-wikipedia
まずはこのプラグインを入れて!
WordPress管理画面への不正アクセスを遮断するプラグイン
WordPressは間違ったログインIDやPWで何度でもログインチェレンジが可能です。
このプラグインはそれを防ぎます。サーバーによっては標準インストールされているプラグインのようです。
このプラグインを入れておけば設定回数分ログインに失敗するとロックされるというものです。
回数やロックされる時間等は設定可能です。
インストールはプラグインの新規追加からLimit Login Attemptsを検索してインストール→有効化
それだけです。
ユーザーIDがadminの人は直ぐに変更を!
最近のWordpressはインストールの際にログインIDを指定出来ます。デフォルトではadminです。
昔からのユーザーは皆adminなので IDがadminだと狙われやすいと言えます。
IDがadminの方はダッシュボードメニュー ユーザー→新規追加からあたらしいアカウントを作りましょう。
権限は管理者です。
一度ログアウトし、新しいアカウントでログインします。
次にユーザー一覧からadminを削除します。
・すべての投稿を以下のユーザーにアサインという項目にチェックを入れることです。
これをしないとadminで投稿した記事が全て消えてしまいます。
ちょっと今日は時間が無いので データーバックアップやセキュリティの強化の続きはまた明日にでも書きます。
最低限 ユーザ名の変更とログインチャレンジ設定のプラグ・インは導入しておきましょう。
may the force be with you.
