コラム

コラム

WordPressサイトの不正アクセス・改ざん、まずは基礎の対策から

2013.08.30 | wordpress コラム

最近WordPressへの不正アクセスによる被害が増加しています。
各レンタルサーバーや、ブログサイトでもよく不正アクセスについての記事を見かけますね。

つい最近でも、8月29日に有名なレンタルサーバー「ロリポップ」を利用している日本語サイトを中心にWordPressサイトが大量に乗っ取られています。

ロリポップを使用中の方はまだ安心できない状態です。
今からでも遅くはないので少しでも対策をしておきましょう。

ユーザー名「admin」は危険

ブルートフォースアタックと言う言葉を聞いたことはありますか?
総当り攻撃の事を言い、最近WordPressによく行われる行為でもあります。

ユーザー名をadminのままにしている方は意外と多いです。
ユーザー名がadminの方を狙って、よく使われる簡単なパスワードを総当りで入力し、不正アクセスされることがあります。

対策としてまずはユーザー名を変更しましょう。
20130830_server1
まずはWordPressへログインをして下さい。
次に左側のメニューから、ユーザー > 新規追加を選択
ユーザー名、パスワード、メールアドレスを記入し、権限を管理者に設定します。
ユーザー名、パスワードについては10文字以上の英数字を推奨致します。

最後に新規ユーザーを追加を押すと完了です。

次に先程作成したユーザーでログインをし直します。
20130830_server2
ユーザー画面へ移動すると、「admin」と先程作成したユーザーの2つがあると思います。

adminにマウスカーソルを合わせ、削除を押してください。
その後ユーザーの削除画面が表示されますので、「すべての投稿を以下のユーザーにアサイン」を選択して下さい。
これを選択し、先程作成したユーザーを選択することにより、記事を引き継ぐことが出来ます。

選択していないまま削除をしてしまうと、記事が失われますのでご注意ください。

以上でユーザー名の変更が終了です。

強固なパスワードでホームページを守る

パスワードには生年月日等は含めてはいけないと良く聞くと思います。
散々言われていますが、使う方がいるのです。

他にもよく使われるパスワードの傾向、使ってはいけないパスワードを紹介します。

1.単語や数字だけのパスワード、辞書で見つけた難しいと思った英単語

2.個人情報を含めたパスワード、誕生日や電話番号、名前

3.逆から書いた単語、「crevicefactory」を「yrotcafeciverc」等

4.パスワードをテキストファイルに保存等、どこかに書き留めておく事

5.複数のサイトでの共通のパスワード、一度使ったパスワードは他で使わないようにしましょう。

では、どうやってパスワードを決めたら良いのか。

1.最低でも10文字以上、12~16文字推奨

2.アルファベットは大文字、小文字を混ぜる

3.数字も混ぜる、アルファベットの間に数字を入れるのが良いです

4.使えるのであれば、記号や句読点も入れる。「_」アンダーバーや「-」ハイフン空白も使用できます

5.パスフレーズを使う。
My son’s birthday is 12 December, 2004 (私の息子の誕生日は 2004 年 12 月 12 日です)
のように自分にとって意味のあるフレーズを使用します。このフレーズを自分なりに Msbi12/Dec,4 とし、これをパスワードとして使用します。

パスワードに空白を使用出来ることは知らない方が多いのではないでしょうか。
追加でさらにやっておくと良いことも紹介しておきます。

1.WordPressの登録に使用したメールアドレスのパスワードも変更

2.定期的にパスワードの変更

3.たまにパスワードのお問い合わせメールが来ることがありますが、返事をしない

4.他人のパソコンでパスワードの記憶機能を使用しない

ここまでするとかなり強固なパスワードになります。

常に最新バージョンで!

20130830_server3
バージョンアップにより、セキュリティ面の強化や、不具合の修正が行われたりすることがあります。
WordPressのバージョンは常に最新のものにしておきましょう。

また、プラグインも常に最新のものを使用することをおすすめします。
更新が止まっているプラグインは出来るだけ使用しない方が良いです。
2013年8月での最新のWordPressはバージョン3.6です。
まだアップデートされていない方はしておきましょう。

定期的なバックアップを

WordPressの内容は定期的にバックアップを取っておきましょう。
バックアップには様々な方法があります。
・FTPソフトを使用し、データを丸ごとコピー
・データベースのバックアップ
・プラグインを使用したバックアップ等
手法は問わないので、バックアップは定期的にとっておきましょう。

終わりに

今回はレンタルサーバーロリポップのWordPress大量乗っ取りの件を見て記事を書かせて頂きました。
共有サーバーではパスワードを複雑にして2段階認証を設定していても改ざんにあうことがあります。

今回の件で、もう共有サーバーを使用しないと言う方もチラホラと見かけます。
ASWへの引越しを行っていたり、専用サーバーを借りる等。

しかし、まずは最低限の、基礎の基礎とも言えるパスワードを強固にする事を実行してみて下さい。
この最低限のことすらも出来ていない方がたくさんいてます。

現在ロリポップを使用中の方は、WAF(ウェブアプリケーションファイアウォール)を有効にして下さい。
不正なアクセスによるサイトの改ざんや情報漏洩を防ぐ機能が搭載されています。
その後パーミッションの確認、予算があるのであれば、専用サーバーへの移動も考えるとよいでしょう。

WordPressの人気が上がるにつれ、このような不正アクセスや改ざんは増えていきます。
個人個人でしっかりと対策と行い、ご自身のホームページを守りましょう。

やり方がわからない方はweb制作会社の方に依頼してみるのも良いかも知れません。

最新のエントリー

企業イメージを向上させ、目的を達成するWebサイト制作を

Webサイトをただ作るだけでは意味がありません。適切なブランディングや戦略、ユーザーの立場に立ったデザインやWebソリューション
などを用いて、すべては企業の目的を達成するためにクレビスファクトリーは全力でお客様の協力をいたします。