最近、WordPressを利用しているサイトの改ざんが大流行しています。
そこで、一般ユーザーレベルで対応できる方法をまとめました。
ひとまずこれで、総当たり攻撃による被害は防げる?かな。
目次
とりあえず最新版へ
- WordPressはバックアップをとり(データベースとアップロードファイル)最新バージョンにアップデートする。
- プラグインを最新版にアップデートする。
- 不要なプラグインは削除する。
adminを削除する(必ず行うこと)
WordPressを立ち上げた状態でそのまま運用している場合、管理者権限のアカウント名は「admin」になっています。これを狙った総当たり攻撃がWordPressに対するハッキングの常套手段となっているので、この管理者名を変更することで、ある程度の攻撃をスルーすることができます。
まず、コントロールパネル > ユーザー > 新規追加 から新しい管理者権限のユーザーを作成します。パスワードも強いものにしておきます。
その後、一度ログアウトして新しい管理者ユーザー名でログインし直し、adminの削除を行います。
その際、adminに紐付けられている投稿は、新しい管理者ユーザーに引き継げます。
adminを削除した後は、ユーザー > あなたのプロフィール からニックネームをログインユーザー名とは別のものにしておきます。
adminが削除できない場合
上記の方法でもadminが削除できない場合があります。
その場合は、総当たり攻撃を防止するプラグインを使用して対応します。
Edit Author Slugを使う
WordPressには、URL(http://example.com/)に ?author=1 を付与したURL(http://example.com/?author=1)にアクセスすると、ユーザー名が分かってしまうという問題というか仕様というか脆弱性があります。
adminを削除すれば ?author=1 にアクセスしても何も表示されませんが、?author=2 といった具合に数字を増やしていくと、アドレスでユーザー名が丸わかりになってしまいます。
これを防ぐには、プラグインのEdit Author Slugを導入します。
プラグインを有効化して、ユーザープロフィールの下にあるEdit Author Slugから、任意のAuthor Slugを設定してプロフィールを更新します。
こうしておくと、 アドレスバーには http://example.com/author/設定したAuthor Slug が表示されるようになるので、管理者権限のユーザー名を知られることは無くなります。
参考:admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法 | Simple Living