WordPress乗っ取り対策!セキュリティを上げてハッキングから守る方法

2013-08-28

最近ブログシステムで有名なWordPressに対して、サイトへの攻撃や不正アクセスが相次いでいるようです。2013/8/28あたりから、格安レンタルサーバーで有名なロリポップで大量乗っ取りが発生したと騒然としています。

このような事態になるとIDとパスワードを手当たり次第試してログインを行おうとするため、サーバーに負荷がかかり、乗っ取られる前にサーバーから制限がかけられるということもあります。

もしハッキング(クラッキング)されてしまうと、スパムサイトやマルウェアサイトへのリンクが埋め込まれたり、悪意あるスクリプトを埋め込まれたりします。こうなってしまうと対処するには、サーバーからデータを全て削除して再度問題の無いバックアップファイルを入れ直さなければなりません。

実際にスクリプトを埋め込まれてしまった経験がありますが、復旧するのは大変です。時間も手間もかかります…。

あなたのサイトが乗っ取られないようにセキュリティを上げましょう!

「admin」を使わない

多くの場合、ユーザー名(ID)の初期は「admin」となっています。これでは、ハッキングする側はパスワードを当てるだけでログインすることができてしまいます。ですからまず最初にユーザー名が「admin」になっている場合は、ユーザーの追加で「admin」以外の管理者権限のあるユーザーを作成して、「admin」を削除しましょう。

Secure WordPress

次にセキュリティを上げるプラグインを紹介します。一つ目は「Secure WordPress」というプラグインで、WordPressのバージョンを分からないようにしたり、ログイン失敗時に出るエラー情報を出さないようにしてくれます。これでログインに関するヒントを与えないようにするわけです。

secure-wp

よく分からないという場合は、とりあえずチェックを入れておけばOKです!

Login LockDown

二つ目のプラグインは「Login LockDown」というプラグインで、管理画面にログインする際、ユーザー名とパスワードを指定した回数間違えた場合に、一定時間ログインを不可能にすることができます。

login-lock-down

上記の例であれば「5分以内に7回以上間違えたら45分ログインできないようにする」という設定です。サイト状況に合わせて任意に設定することができます。

  • Max Login Retries :ログイン回数の上限
  • Retry Time Period Restriction (minutes) :ログインの再試行判断の制限時間(分)
  • Lockout Length (minutes) :ログインできないようにする時間(分)
  • Currently Locked Out  :現在、拒否中のIPアドレス
  • [Update Settings]  :現在表示の設定を保存する
  • [Release Selected]  :現在、拒否中のIPアドレスをリセットする

今回紹介したセキュリティを上げる方法は最低限やっておくべき内容なので、対策を取っていない方は今すぐ行っておきましょう!また、万が一の時のためにもBackWPupなどでバックアップを定期的に取り、復元方法も確認しておくことを強くお勧めします。

FBコメント

Copyright(c) 2010- 独立起業で自分だけのビジネスライフを! All Rights Reserved.