ども、ヤマタクです。
セキュリティーまわりを最近調べておりまして、
WordPressのデフォルト状態でのセキュリティーの弱さに衝撃を受けました。
WordPressの管理画面に入られてしまうとどうなってしまうのか。
考えられるリスクをあげると
・記事を全て消される
・画像の不正入手
・記事や情報の改竄
・ファイルマネージャー系のプラグインをいれることで、サーバー内のディレクトリにアクセス
・会員登録制の場合は会員の情報の漏洩
・メールアドレスとパスワードを読み取られ、別サービスへの不正ログインに使われる
おそらく上記以外にもおぞましい損害があるでしょう。
これらのリスクがデフォルトのWordPressサイトの設定では有りうるのです。
『アクセス数も少ないし自分のサイトは大丈夫でしょ』と思った方は、その考えを改める必要があります。
ログイン履歴を残すことのできるプラグインを入れてみて、しばらく放置してみてください。
1週間で1回以上ログインが失敗と履歴が残った場合、あなたのサイトは狙われています。
そして、これはアクセス数関係なく、どのサイトも狙われている可能性があります。
目次
不正ログインはどこから行われている?
こういった不正ログインは主に海外からのアクセスが多いと言われています。
実際に私も別のwebサービスで不正ログインされた経験があるのですが、それらは東南アジアからのアクセスが多かったです。
レンタルサーバーによっては独自のセキュリティーが効いています
WordPressサイトはデフォルトのままでは危険と煽っておりますが、実はレンタルサーバーによってはある程度セキュリティ対策を予め行ってくれているところがあります。
当サイトではNetowl社のスターサーバーを使用していますが、こちらではデフォルトで以下のセキュリティー対策が行われています。
・ダッシュボード 海外アクセス制限
・XML-RPC API 海外アクセス制限
・REST API 海外アクセス制限
・WordPressログイン試行回数制限
・大量コメント・トラックバック制限
これらの対策があれば、ある程度問題ありませんが、レンタルサーバーによってデフォルトのセキュリティー対策が違いますので一度確認した方がいいでしょう。
初期状態のWordPressはユーザー名がバレバレ
さてここからが本題なのですが、WordPressへログインするには/wp-adminでログイン画面を開き、ユーザー名かメールアドレス、そしてパスワードを入力してログインする必要があります。
そのユーザ名ですが、初期状態のWordPressではなんと簡単にユーザー名を調べることが可能なのです。
WordPressのサイトのURLに『/?author=1』を入力してみてください。(1の箇所はユーザーIDなので2や3の可能性もあります)
すると『https://ドメイン/author/[ユーザー名]』が表示されます。
そして、割り出したユーザー名でログインを試みてみると、親切なことにWordPressのログイン画面で
"ユーザー名があってるけどパスワードが違うよ^^"
と親切に教えてくれます。
ユーザー名さえ分かってしまえば、世間的によく使われているパスワードでログインを試みたり、ブルートフォースアタックというパスワード総当りを数時間行えば不正ログインは簡単に出来てしまいます。
さらにWordPressにはXML-RPC APIといった裏口がデフォルトの状態であります。
この裏口からパスワードを割り出すことも可能です。
ユーザー名が分かってしまうと、これだけの危険があります。
そして、これがWordPressのデフォルトの仕様なのです。
プラグインを入れるだけでセキュリティー対策はかなり改善されます。
以上、WordPressの初期状態の危険度を紹介しましたが、これらのリスクは簡単に誰でも改善出来ます。
いわゆるセキュリティー対策用のプラグインを入れれば、大体は問題は解消されます。
オススメするプラグインが以下の2つです。
・SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
・XO Security
https://ja.wordpress.org/plugins/xo-security/
上記のプラグインをどちらかを入れてもらえば大丈夫です。
ただ『XO Security』はある専門用語が分かる人が対象で、自分である程度設定が必要です。
専門用語が難しい初心者の方は『SiteGuard WP Plugin』を強く推奨します。
『SiteGuard WP Plugin』であればプラグインをインストールし有効にするだけでセキュリティー対策の設定が行われます。
下の画像は『SiteGuard WP Plugin』を有効にした場合の設定項目です。
※ただし、/wp-adminといったログインURLも変わってしまいます。ログアウト前に必ず『ログインページ変更』で新しいログインURLを確認するか設定を無効にしてください。
プラグイン設定項目参照サイト
・【セキュリティ対策】WordPress「SiteGuard WP Plugin」の使い方を徹底解説
・【S】日本語プラグインXO Securityの使い方と超次元コンボ
まとめ
以上がWordPressにセキュリティー対策プラグインを入れるべき理由でした。
不正ログインは一度発生してしまうと取り返しのつかないことに繋がりかねません。
かならず後回しにせず早め早めの対策をお勧めします。
世の中にはハッキングを喜びとする集団がいて、一度ハッキングされたサイトを見たことがあるのですが、ページを改竄され映画で見るようなドクロマークの画像に差し替えられていました。
これなら、まだ可愛い方で、気づかれないようにリンク先のURLを有害なサイトのものへ差し替えられている可能性もあります。
そうすると被害はサイト管理者だけでなく、そのページに訪れたユーザーにも及ぶ可能性があります。
それらのリスクはWordPressの場合、無料で簡単に対策が行えますので、必ずセキュリティー対策を取りましょう。
