本当は怖い WordPress (1) パスワードの強化

2013年8月28日から29日にかけて、WordPress サイトの大規模な改ざん(ハッキング、クラッキング)が発生しました。今回難を免れた方のところへも、攻撃はいつ来るか分かりません。簡単で効果的な自衛策をご紹介します。

「改ざん」とは？

「改ざん」というのはWebサイト運営者が意図しないうちに、Webサイトの内容が第三者によって書き換えられてしまう事です。今回の大規模攻撃で被害を受けたのはレンタルサーバ「ロリポップ」(※1)でWordPressを使用しているサイトで、被害を受けたサイトは何と 8,438 サイトと発表(※2)されています。

※1 http://lolipop.jp/
※2 http://lolipop.jp/info/news/4149/

なぜこのような大規模な攻撃が可能かというと、WordPressはプログラムを誰でも入手してシステムの構成を調べる事ができるからです。どのような仕組みでシステムが動いているか、どこに重要なシステム情報が書かれているかを、攻撃者を含めて誰もが知る事ができるのです。

これはWordPressが無料で提供されているという状況からすると本質的には避けられない事ですが、WordPressを使う限り常に攻撃を恐れびくびくしていなければならないかというと、いくつか攻撃をかわす方法はあります。大規模な攻撃は、一般的な設定のまま使っているサイトを想定してプログラムで自動的に攻撃してきますので、その設定をちょっとでも変えてやれば良いのです。

2重にパスワードを掛けてセキュリティ強化

攻撃をかわす方法の１つは、管理画面にWordPressのパスワードに追加して、Basic認証(※3)によるパスワードも掛ける事です。ログインする時に2回パスワードを入力しなければなりませんが、画一的にWodPressのパスワード奪取を狙ってくる攻撃をかわす事ができます。

※3 「Basic認証」とは、Webサーバに標準的に備わっているアクセス制限機能の事で、レンタルサーバであれば「アクセス制限」「会員用サイト」「Basic認証」などの名前で設定メニューがあります。

WordPress管理画面の2重バスワードの掛け方

設定の操作方法はレンタルサーバによって様々ですが、管理メニューがある筈ですので、お使いのWordPress設置場所にある「/wp-admin/」ディレクトリにアクセス制限を掛けて下さい。

【まとめ】WordPress 自衛ワンポイント

自分でもパスワードを掛ける

この記事の関連リンク

本当は怖い WordPress (2) コメントのブロック