WordPressハッカーに狙われやすい
WordPress(ワードプレス)は、ブログから高機能なウェブサイトまで制作することが出きるオープンソースのソフトウェアです。
なんと世界中のウェブサイトのうち、40%以上のシェアをWordPressで占めているようです。
使用している人が多いので、トラブルがあっても、検索すれば多くの情報がすぐに見つかります。
そんな大人気の WordPressですが、デメリットもあります。
デメリットの一つに「ハッカーの標的になりやすい」ということがあげられます。
「目立つと周りから目を付けられる」
人気者の宿命と割り切りましょう。
改ざん被害にあいました
わたしが管理しているウェブページは、ほとんどがWordPressで作られています。
毎日1回はウェブページのアクセス状況をチェックしてます。
ある日の事、いつものように管理しているウェブをチェックしたところ、数時間前からアクセスがほとんどなくなっていることが分かりました。
「もしかしてサーバーがダウンしている?」と思い、 ウェブページにアクセスしたら、なんと見たことのないいかにも怪しそうなショッピングサイトが表示されていました!
一瞬頭の中が真っ白になりました。
調べてみると、どうやらWordPressに不正に侵入され、ウェブページを改ざんされてしまったようです。
どうにかこうにか、丸1日かかりましたが、復旧できました。
しかし、もう2度とこんな状況に遭遇したくありません。
というか、ウェブページがちゃんと表示されなかったことにより、お客様の機会損失となり、また信用力の低下にもつながります。
IP制限で不正ログインを防ぐ
WordPressには、デザインを変えたり、記事を書いたりできる専用の管理画面が用意されています。
その管理画面から、不正侵入されるケースがあります。
管理画面は当然ながら、IDとパスワードで制限がかけられていますが、推定されやすい単純なパスワードを使うのではなく、記号や大文字などを混合させた長めのパスワード(12桁以上推薦)を設定し定期的に変更するようにしてください。
また同時にIPアドレス制限をかけて、「自宅や会社からでないと管理画面にアクセスできない」という状況にしてしまうことも有効な方法です。
具体的な IPアドレス制限の方法
wordpress 管理画面へのIPアドレス制限
理画面へのIP制限は、.htaccess にて設定します。
.htaccessとはWebサーバーの基本的な動作を、ディレクトリ単位で制御するためのファイルです。
具体的には、ベーシック認証、301リダイレクト、URLの正規化、IPアドレス制限などを設定します。
wp-login.php (管理画面ログインページ)には、下記のように記述します。 xxx.xxx.xxx.xxx には、許可したいIPアドレスを設定します。
<Files "wp-login.php">
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>またwp-admin以下のファイルについても、同じように制限するようにしましょう。
Order deny,allow
Deny from all
Allow from
xxx.xxx.xxx.xxxFTPへのIPアドレス制限
コメント