*

WordPressセキュリティーの第一歩

公開日: : 最終更新日:2013/11/19 WordPress覚書,

先日、ロリポップサーバー内にWordPressで構築しているブログ・サイトが猛打撃を受けたばかりですね。
対応に明け暮れたクリエイターさんお疲れ様でした。
数年前の大手サーバーのDBぶっ飛び事件と言い、データーベースを使ったWEBにますます恐怖を感じる今日この頃でございます。
結局データベースが復旧出来なかった例などもあるようで、怖いですね。
あれ以来、出力のみCMSを使って本番環境には静的にアップロードする方法?などをとる企業様、特に公的機関なども多くなってきたような話も聞きましたが、「喉元過ぎれば熱さ忘れる・・・」時間の経過が人間に与える「忘れる・・・」という都合の良い力が働いているのでしょうか?どうなんだろ!?

後述のものはサーバー会社の問題ですが、前述のWordPressを狙った猛烈アタック。
ソースを見ればWordPressのサイトだと言う事がすぐわかる。
そして、管理画面のURLもだいたい察しが付く。このあたりだけでも危険!

そしてそして、以前の古いWPの時はこんな便利じゃなかったはず?
先日久しぶりに最新のWordPressをインストールテストしてみてびっくりしたのですが、DBのセッティングなども全部ブラウザ上で出来ちゃうのね!
これ、たぶん昔々のバージョンではこの機能はなかったような曖昧な記憶なのですが、便利な物の裏には必ず危険が伴うと認識しましょう!

(原発と同じ・・・元々はとんでもない大量殺人大量破壊兵器!平和利用の裏にも大量破壊兵器の危険性は必ず付きまとうのです。)

ブラウザの指示通りに進んでいくと、お決まりのように「ユーザー名」が「admin」となり、管理者権限が与えられます。
これをこのまま使っていたWPユーザーがターゲットとなったようです。そのような情報!?

管理画面のURLもだいたい察しが付き、ユーザー名がわかれば残すはパスワード。ロボットがランダムにガンガン打ち込んで行けばいいのですから。

なので・・・セキュリティーの第一歩としてまずはさっさと管理者ユーザー名を変えましょう!
出来れば二重パスワードとなるくらいに複雑なものを設定すればちょっとだけ安心。

まずは現在の管理者権限でログイン。

wp-secim03

新規ユーザーを追加して管理者として登録。

wp-secim01

新しく登録した管理者権限のID&PWで再ログイン。
今までの管理者を削除。その際に今までの管理者が投稿した記事のアサイン先を求められるので、今ログインしている新しい管理者を選択。

プロフィールのブログ上の表示名・ニックネームがユーザー名と同じになっている場合は変更。

wp-secim02

スマホ対応にしてくれるプラグインやテーマによっては、投稿者にユーザー名を表示してしまうものもあるので注意が必要です。

※追記——————

どうやらある一定の操作をする事でIDがバレバレになってしまうらしき記事を発見しました。
早急に検証してみよう!先日のロリポップへの総攻撃はこんなものじゃなかったらしいです。
その件は後日情報を精査してから・・・

なんだか怖いなWP!

ある一定の操作をする事でIDがバレバレになってしまう、WordPressのある意味「脆弱性」対策
「WordPressセキュリティー パート2」こちらもご覧ください。

関連記事

避けて通れないWordPressのバージョンアップ。3.6から3.6.1へテストメモ!

つい先日3.6が出たばかりでしたが数日後にバグ修正版の3.6.1配布、そしてまた数日後に3.7のベー...

記事を読む

WordPressでまず最初にセット!お薦めプラグイン・その他、まとめ。

WordPressをサーバーにインストール、セットした際に最初に準備しておくと良かれと思われるプラグ...

記事を読む

スパムコメント対策「Akismet」が早速働いた!

先日セットしたばかりの「Akismet」が早速機能。 WordPressに最初から入っているけど、...

記事を読む

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプラグインのインストールなどして...

記事を読む

ワードプレスログインロゴ

WordPressログイン画面のロゴ&リンク先を変更してみる。

くだらないと言えばくだらない、でもちょっとだけお客様のモチベーションが上がるかもしれないサービス。 ...

記事を読む

新着記事

古いiOSのiPadで「問題が起きたため、このwebページを再度読み込みました。」となる件

2年ぶりに書いてみる。 すでにAppleより見放されてiOSが9.3.5止まりのiPad初期型...

記事を読む

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプラグインのインストールなどして...

記事を読む

Dreamweaver CC 2017 正式リリース、早速使ってみた!

一昨日、Dreamweaver CC 2017 が正式にリリースされました。 夏前よりBeta版を...

記事を読む

Windows10 フリーズしたように動作が重くなる現象と対策!

先日、Windows 10 Anniversary Updateをしたばかりですが、その後突然フリー...

記事を読む

【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!

Microsoftさんがまたヤッてくれました。 お仕事中にアプリケーションが重たくなってきたの...

記事を読む

古いiOSのiPadで「問題が起きたため、このwebページを再度読み込みました。」となる件

2年ぶりに書いてみる。 すでにAppleより見放されてiOSが9...

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプ...

Dreamweaver CC 2017 正式リリース、早速使ってみた!

一昨日、Dreamweaver CC 2017 が正式にリリースされま...

Windows10 フリーズしたように動作が重くなる現象と対策!

先日、Windows 10 Anniversary Updateをした...

【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!

Microsoftさんがまたヤッてくれました。 お仕事中にアプリ...

→もっと見る

PAGE TOP ↑