- 井上 みやび子
- すぐ使える株式会社 代表取締役
- 東京都
- Webエンジニア
対象:ホームページ・Web制作
- 原島 洋
- (Webプロデューサー)
- 井上 みやび子
- (Webエンジニア)
本当は怖い WordPress (1) パスワードの強化
-
2013年8月28日から29日にかけて、WordPress サイトの大規模な改ざん(ハッキング、クラッキング)が発生しました。今回難を免れた方のところへも、攻撃はいつ来るか分かりません。簡単で効果的な自衛策をご紹介します。
「改ざん」とは?
「改ざん」というのはWebサイト運営者が意図しないうちに、Webサイトの内容が第三者によって書き換えられてしまう事です。今回の大規模攻撃で被害を受けたのはレンタルサーバ「ロリポップ」(※1)でWordPressを使用しているサイトで、被害を受けたサイトは何と 8,438 サイトと発表(※2)されています。
※1 http://lolipop.jp/
※2 http://lolipop.jp/info/news/4149/
なぜこのような大規模な攻撃が可能かというと、WordPressはプログラムを誰でも入手してシステムの構成を調べる事ができるからです。どのような仕組みでシステムが動いているか、どこに重要なシステム情報が書かれているかを、攻撃者を含めて誰もが知る事ができるのです。
これはWordPressが無料で提供されているという状況からすると本質的には避けられない事ですが、WordPressを使う限り常に攻撃を恐れびくびくしていなければならないかというと、いくつか攻撃をかわす方法はあります。大規模な攻撃は、一般的な設定のまま使っているサイトを想定してプログラムで自動的に攻撃してきますので、その設定をちょっとでも変えてやれば良いのです。
2重にパスワードを掛けてセキュリティ強化
攻撃をかわす方法の1つは、管理画面にWordPressのパスワードに追加して、Basic認証(※3)によるパスワードも掛ける事です。ログインする時に2回パスワードを入力しなければなりませんが、画一的にWodPressのパスワード奪取を狙ってくる攻撃をかわす事ができます。
※3 「Basic認証」とは、Webサーバに標準的に備わっているアクセス制限機能の事で、レンタルサーバであれば「アクセス制限」「会員用サイト」「Basic認証」などの名前で設定メニューがあります。
WordPress管理画面の2重バスワードの掛け方
設定の操作方法はレンタルサーバによって様々ですが、管理メニューがある筈ですので、お使いのWordPress設置場所にある「/wp-admin/」ディレクトリにアクセス制限を掛けて下さい。
【まとめ】WordPress 自衛ワンポイント
自分でもパスワードを掛ける
この記事の関連リンク
このコラムに類似したコラム
乗っ取られてからでは遅い!Facebookの2段階認証カンタン設定方法 小菅 太郎 - ITコンサルタント(2014/11/11 10:13)
プラグインを利用せずにWordPressにFacebookコメント欄を設置する簡単な方法 小菅 太郎 - ITコンサルタント(2013/10/22 15:05)
第三者でも簡単にパスワードリセットができるTwitter 小菅 太郎 - ITコンサルタント(2013/10/07 14:00)
本当は怖い WordPress (3) エラーログのチェック 井上 みやび子 - Webエンジニア(2013/10/01 06:00)
本当は怖い WordPress (2) コメントのブロック 井上 みやび子 - Webエンジニア(2013/09/10 00:00)