WordPressを使うための最低限のセキュリティ

こんばんは、メルです。

ここ最近、本当にWEBサイト改ざんなどの被害が増加しています。

まずはこちらをご覧下さい。

 

ワードプレス管理画面へのアクセス推移

 

上記の画像は、Wordpressで運営しているあるサイトの
今年5月から8月までの管理画面へのアクセス数です。

6月から急激に増えているのがわかりますよね?

WordPress使用者の被害が増加したのもちょうど
この6月くらいからになります。

このアクセスログから、
6月頃からブルートフォースアタックを使い
パスワード解析を試みていたと考えられます。
(※ブルートフォースアタックについては後ほど説明します。)

レンタルサーバーを使用していますので、
レンタルサーバー側で不正アクセスに気付き、
アクセス制限をかけたのでこの程度の数字ですが、
放っておけば解析できるまでアタックが止まる事はないでしょう。

幸いこのサイトは被害にはあっていません。

このサイトは、平凡なサイトで、
1日100アクセス程度のサイトです。

これまでのように、企業ばかりが狙われるのではなく、
これからは個人の小さなサイトでも油断できないと言う事です。

 

最近改ざんされているパターンとしては大きく以下の3タイプに分かれます。

 

  1. 管理者のパソコンがマルウエアなどに感染し、
    FTPのパスワードが漏洩し改ざんされる
  2. CMSのログイン画面のパスワードを解析され改ざんされる
  3. CMSの脆弱性をつかれ改ざんされる

 ※CMSとは、コンテンツマネージメントシステムの訳で、
  Webコンテンツを構成するテキストや画像、
  レイアウト情報などを管理するシステム
  (WordPressや、XOOPS、MTなど)

 

1.管理者のパソコンがマルウエアなどに感染し、FTPのパスワードが漏洩し改ざん

これは前回、WEBサイト改ざん被害の記事でも書きかましたが、
管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。

管理しているパソコンと言っても、管理者の事ではなく、
そのサイトにFTPでログインしているパソコンであれば
どのパソコンがマルウエアに感染していても被害を受けます。

被害にあわないためには、

・Windowsのアップデートは常に最新のものに更新する
・セキュリティソフトを入れ、常に最新のものに更新する
・まめにウイルススキャンする

最低限これだけは必ずやって下さい。

 

2.CMSのログイン画面のパスワードを解析され改ざんされる

WordPressをはじめとするCMSの管理画面のログイン画面に
直接アクセスし、解析します。 

ブルートフォースアタックと言い、
ツールを使い、総当りで順番にアタックしていきます。
非常に効率の悪い方法ですが、認証失敗回数制限により
IDが凍結されない限り パスワードが取得されてしまう可能性があります。

これを防ぐには、判明しやすいパスワードを設定しない事です。
また、定期的にパスワードを変更したほうが良いです。

具体的には、

・短いパスワードは使わず、8桁以上にする
・英語と数字を組み合わせたパスワードにする

出来れば英字は大文字と小文字を混ぜた方が良いです。

 

3.CMSの脆弱性をつかれ改ざんされる

これは、CMSの脆弱性をついた攻撃なので、
常にセキュリティのアップデートされた最新版に
更新しておく必要があります。

また、WordPressなどの場合、プラグインに脆弱性が
ある場合もありますので、プラグインも必ず最新版に
更新しておく必要があります。

 

大企業などのサイトを除いて考えた場合、
日本にあるほとんど全てのサイトには脆弱性があります。

個人的に狙われていないから被害にあっていないだけで、
狙われたらアウトなのが現状です。

それでは本題のWordPressを使用している場合の、
必要最低限のセキュリティについてです。

 

 

WordPressの必要最低限のセキュリティ

 

  • WordPressは常に最新版に更新する
  • テーマは公式サイトにあるもの以外は使用しない
  • プラグインは公式サイトにあるもの以外は使用しない
  • テーマ、プラグインは常に最新版に更新する
  • 不要なテーマ、プラグインは削除しておく
  • ユーザー名にadminを使わない
  • パスワードは8桁以上にする
  • パスワードには英字と数字を組み合わせたものを使う
  • .htaccess 及び wp-config.php のパーミッションは400にする

 

WordPressを最新版に更新するのは基本です。

WordPressのアップデートには、機能面のアップデートもありますが、
脆弱性に関するアップデートも多く含まれています。

古いバージョンをそのまま放置しているだけでも
脆弱性をつかれ、簡単にサイトを乗っ取られてしまうことも
有り得ます。

必ず最新版にするようにしてください。

 

また、無料のテーマ、プラグインには、そのもの自体に悪意のある
コードが含まれていることが多いです。(特に海外製のもの)

国産のもので、有料販売されているものはまず問題ないと思いますが、
信用できるところから入手した場合を除き、必ず一度ソースに目を通すか、
わからない場合は公式サイト以外のものは使用しないで下さい。

 

ユーザー名は絶対にadminを使用してはいけません。

元々WordPressでは、デフォルトでadminを使用していましたが、
ユーザー名が決まっていてはそもそも意味がありませんので
現在では自由に変更できます。

因みに、ユーザー名がadminで、パスワードが6桁の数字だった場合、
数分で解析できてしまいます。

ユーザー名にはadminを使わない
パスワードは8桁以上の英字と数字を組み合わせたもの

この2つは必ず守ってください。

 

.htaccess 及び wp-config.php のパーミッションに関しては、
サーバーの設定に依存しますので、400にしてみて、
正常に動作しない場合はサーバー管理者に聞いてください。

 

セキュリティには、
「これだけやったら確実」というものはありません。

やればやっただけリスクが減るものです。

まずは出来る範囲でやれることからやっていけば良いと
思いますので頑張ってください。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

3 Responses to “WordPressを使うための最低限のセキュリティ”

  1. […] WordPressを使うための最低限のセキュリティなども 参考にしてください。 […]

  2. […] こういった被害にあわないためにも、 こちらの記事で紹介している、 WordPressを使うための最低限のセキュリティを 読んで実施して下さい。 […]

記事「WordPressを使うための最低限のセキュリティ」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

伊藤 虎太郎 出店料 株式会社バンザイ html SEO アフィリエイト セキュリティ YouTube Maniax 2017 iphone デスクトップ @PAGES KMSpico 自己アフィリエイト 権利収入 Yahoo Chrome アンダーグラウンドアフィリエイトクラブ BBIZ 特権ビジネス 土屋ひろし 個人情報流出 転売大園塾 RSS 改竄 固定ページ マルウエア 申請金ビジネス ブロックポリシー 不労所得の神 MT FireWorks 山下 81a338 functions.php wpXサーバー レイアウト崩れ getElementByTagName ヤフオク 大園式転売塾 インターネットエクスプローラー フォローマティック エディタ スタイルシート 加藤 秀吉 クラウド変換 css ブラウザ 音量アイコン 背景 大園麗花 久積篤史 ping ブロック 画像 切り抜き Wordpress Content Slide wp-login.php ブラシ tool wordpress トレンドアフィリエイト 高速ゲーム ライン CS5 優先順位 ライブチャット 加工 感染 インフォトップ HTML4.0 ネットビジネス 株式会社SRシステム 切抜き 新井浩 アイコン ソフト 賢威 followmatic 秒速で1億円稼ぐ男 クリックランキング 株式会社SRシステム 自己アフィリ フレンドシップメール 三橋美仁 日本語入力変換ソフト explorer Windows 7 Internet Explorer 配布 Extension Manager Tiger-Wing モザイク 百度 短縮URL 球体 原田真 村上省吾 RMT Google Maps API バイドゥー ビジネス CGI 与沢翼 system 情報商材 クラック LinkShaker 与沢翼×蝶乃舞 インターネットビジネススクール ブラクラ 高額塾 詐欺組織 ネットショップ Newpost Catch Baidu 登録禁止 エキスパートメール PPC 掲示板 ツイッター Agency Business 無料 twitter がら空きビジネス 副業術 クラウド入力機能 ライオンアフィリエイト 詐欺 WP アレックス ファビコン KMS認証 MovableTYpe WEB プロファイル 株式会社Free Agent Style Diamond Affiliate Masters Program アドセンス 放射線 復元 もざ 特定のメールアドレス マニュアル ソース プラグイン レビュー ランキング 蝶乃舞 レタープレス 人物 ネオヒルズアカデミー 個人情報 アクセス制限 RSS Includes Pages Google Maps XHTML 伊藤塾 Ban Hammer バックアップ スカイプ テンプレート force puzzle 中山秀人 DOCTYPE .htaccess エクスプローラー 管理ツール サンタ IBS スクロール 株式会社WINGOOD SKナレッジ 関根義光 脆弱性 到達率 ウイルス トラフィック 立体 office document.all ワードプレス 不正送信 ネットビジネス大全集 High Concept Marketing 伊藤 歩 シャンプー ユーチューブマニアクス2017 やしろ塾 池田純矢 テーマ DTD エクスチェンジ 石井匠 moza PHP ソースコード アンダーグラウンドメソッド SyntaxHighlighter postpost ウインドウ ボタン 改ざん Youtube 大園転売塾 ドメイン CS6 ネットガレージ ざくざく君 IP 不正アクセス スマホ せどり Thunderbird サイト改ざん EC ムーバブルタイプ BUYMA スムーズ Adobe 自動 宮田麗花 インペリアルゴールド 関根塾 android 伊藤虎太郎 グラデーション 流出 ping送信 Line getElementById 株式会社A-ブログレス カスタマイズ SmoothScroll.js リンクシェイカー 株式会社ニュース バイマ 北川 雅嗣 マイクロソフト アレックス式ネオせどりスクール google Login LockDown 無断送信 滑らか アフィ匠 ヤフー Cash on Wordpress ハート 小笠原健一 Favicon パズル アクセスアップ 比較 ECサイト JavaScript 上位表示 MasterCollection 管理画面 やしろひろたみ IE クロスアフィリエイト メルマガ配信システム コピーボタン 定型文 量産 タスクバー ロリポップ トレンドキーワード メモ レイアウト Firefox 短縮URLツール 大西良幸 ツール インターネット ぼかし 表示 ネットビジネス最後の楽園 バナー プロモーション ヤフーショッピング FTP 既得権益 ブルートフォースアタック Windows タイガーウイング 秀吉塾天下統一 レンタルサーバー 無料オファー 自動化 ネットゲーム

アーカイブ

エステトラブル

このページの先頭へ