危機感を持ってもらおうと思い、すこし大げさに書きました。
でもね。ちょっとは意識しておいて欲しいんですよ。
最近、なんちゃらpayが不正アクセスされたニュースが世間をにぎわせました。
・・・気づいてますよね?気づいてますよね?
「ブログをやるならWordPressがいい」って情報だけでとりあえずWordPressサイトを作ったブロガーさん、気をつけたほうがいいですよ。
みんなが使ってるから大丈夫、なんてことはありません!
WordPressってウェブシステムの一つで、管理を怠ると乗っ取られてしまうリスクが高くなるんですよ。
普通にインストールしただけの状態って思ってる以上に危ないんです。
知らなかったらこの記事をよく読んでいただきたいです。
WordPressサイトの改ざん被害はすごく多い
ほんとに乗っ取りなんてあるの?とお思いの貴方!
少し古い記事ですがこんなニュースが出ています。
WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」
どうですか?多いと思いませんか?150万件ですよ。
150件ではありません。
WordPressってなんちゃらpayとは規模が全く違いますが一つのシステムなのです。
ちょっと気をつけるだけでリスクを減らせるので試していただきたいです。
どうしたら良いか
いろいろと方法はありますが、3つだけ紹介しておきましょう。
1.パスワードをわかりにくいものに変える
passwordとか1234とか単純なものにしていませんか?
どうせ自分のブログなんか改ざんしようとする人なんていないから適当なパスワードでいいでしょ、なんて思ってても被害にあってからでは遅いです。
最悪のパスワードランキングなんてものも存在するので該当する人は変更しておきましょう。
The Top 50 Worst Passwords of 2018
Chromeなどにパスワードを覚えさせている方は、そのパスワードを管理しているGoogleアカウントのパスワードもわかりにくいものにしておくのがベストです。
一般的にアルファベットの大文字小文字、数字、記号が混ざっているものが安心と言われています。
複数の単語を組み合わせたもの、なんかも良いらしいです。
DoragonBouruHaOmoshiroine
一般的な単語だと効果が薄いので日本語の単語をローマ字表記にする、とかすると安心度が高まります。
2.ログインURLをわかりにくいものに変える
これ、ブロガーさんの中に該当する人が多そうです。
https ://○○○○○.com/wp-admin/
などからログインをしていませんか?
言ってみれば玄関のドアを晒している状態のようなものです。
ピッキングしてくださいと言ってるようなものです。これはいけませんね。
パスワードを難しいものにしていればリスクはだいぶ下がりますが、リスクは少しでも下げておきましょう。
なんと、ログイン用のURLは簡単に変更可能です。
このプラグインをインストールして一般→設定を開くとログイン用のURLを設定できるようになります。
(SiteGuardなどより機能が充実しているプラグインもあります)
何も設定してない場合は多分/login/です。わかりにくいURLに変更してあげましょう。
次回からは設定したURLからでだけログインができるようになります。
おまけ)ログインURLを適当に変えたせいでログインURLがわからなくなっちゃったというときは、FTPよりプラグインのディレクトリ(フォルダ)/wp-content/plugins/wps-hide-loginを削除するとプラグインが無効化されます。
3.バージョンアップをしっかり行う
最後に基本的なことですが、管理画面に表示されるバージョンアップ案内についてはほったらかしにせず、適度な間隔でバージョンアップを行なっていきましょう。
これにはセキュリティ対策のための更新が含まれています。
まれにテーマやプラグインの動作に関わるバージョンアップが行われる(最悪動かなくなる)場合もあるので、自己責任のもとバックアップを取ってから更新を行ってくださいね。
紹介した対策はごく一部
実際にはcaptcha認証(画像認証)を設定するとか、BASIC認証を設定して管理機能にアクセスできないようにするとか色々と方法があります。
今回はあまり面倒に思わないよう3つだけ対策を紹介しました。
これをやっていれば絶対に大丈夫、というものではありませんが、この3つを試すだけでも全然安心度が変わってきます。
まだ対策できていなかった、という人は是非とも実践してみてください。
以上、ブログのセキュリティに関するお話でした。
コメント