「技術」カテゴリーアーカイブ

WordPressの危険な部分を知ってきちんと対処しましょう

現在、CMSという意味で大きなシェアを占めているのはWordpressであるのは間違いないことだと思っています。

しかしながらこのインターネット上で多く使われることによる弊害は、乗っ取りをたくらむ輩がいるということになります。

この乗っ取りはあまり難しいことはなく、ちょっとDBとCMSの仕組みを知っている人なら、ログインIDを奪ってしまえばなんとかなってしまったり、Wordpressであるとわかっているのであれば、その穴から侵入することで乗っ取りのきっかけを作ろうとします。

あまり詳しく書いてしまうと、乗っ取りって簡単なの?なんて考える素人にきっかけを与えることになるので書きませんが、防御する側はできる範囲のことをする必要があります。

では実際に何をすると乗っ取りを計画するログインを防ぐことができるかといえば、かなり効果があったのは日本国外のIPからのログインを許可しないということでできたりします(苦笑)

サーバーによってですが、共有サーバーなどでは海外IPからのログインを許可しないというのが最近は多くなっているようですので、その設定をチェックするだけでかなりの効果があります。

ちなみに私が運営していた(現在面倒なので閉じていますが)教育関係のブログですが、日にログイン試行が数万回、xmlでの攻撃も数万回ということで相当数きていたのですが、海外IPを防いだところなんと1/5以下に激減するという体験をしたことがあります。

しかし、当然ながら悪い人というのはそれが無理なら国内のサーバーを踏み台にして国内からのログインを偽装することになります。

国内IPからの攻撃を防ぐ方法はいくつかあります。

比較的簡単に設定できるのはWordpressのセキュリティ関連プラグインをインストールして有効化することです。

私のセキュリティが知られてしまうのが嫌なので(こいつも穴があって、そこから侵入しようと悪党はたくらみます)ここでは何を使っているか明らかにしませんが、Google君に「Wordoress セキュリティ」とでも入力して検索すると答えが返ってきます。

そのセキュリティプラグインを有効化して設定を正確にすると、さらに防ぐことはできるようになります。

さらにはプラグインから「悪意を持ったログイン回数」などというのが示されますので、それらから守られていることを実感します。

あと効果的なのはログインをしたらメールなどの連絡が自分のメールアドレスに飛んでくる設定にすることも有用です。

ログインされてしまったなら、パスワードを変えたり、実際にログインをするべきURLを変えるなどの手段があるのですが、身に覚えのないログインをした場合には、すぐに対処することで乗っ取りの被害を最小化することが可能になります。

過去に乗っ取らせる目的で作成したサイトに、どういう操作をしたのかのトラップを仕掛けておいたのですが、すぐに持ち主が使えなくなるようなことはしていませんでした。

今のトレンドとは異なるかもしれないという前提で書きますが、彼らはサイトにトラップをしかけて、その人の癖であったり他の設定を盗むようなものをしかけることもあります。

そのためすぐに乗っ取って持ち主が操作できないようにすることはしていませんでしたので、有用な場合があります。

これが最新トレンドだってのがあれば、そちらを見ていただいた方がいいでしょう。
(私は実際の業務が忙しく、こちらの対応は人任せにしてしまっていますので古い情報だと自分で思っています)

まとめますが、Wordpressを使うときには・・・
1.ログインのIPアドレスを国内IPに制限する
2.Wordpressのセキュリティプラグインをログインして適切な設定をする
3.適切な設定の一つにログインしたら自分のメールアドレスにログインアラートを飛ばすようにしておく
のような対処で、少しでも安全に使うことができると思います。