本記事では,最近増加傾向にあるWordPressがのっとられてサイトが荒らされることに対して,最低限どんな対策をしておけば良いのかを紹介します.
セキュリティ対策を全然していない人は非常に危険なので,ぜひとも最低限の対策をしておくようにしてください.
記事内では最初に,官公庁や企業のサイトに限らず,どんな人のサイトも荒らされる可能性があることについて説明します.
次にどんな手口で実際にWordPressがのっとられて荒らされるのかについて紹介します.この部分は悪用厳禁でお願いします.
最後に荒らされる手口が分かったところで,最低限しておくべき対策の方法について紹介します.
本記事の内容
どんな人のサイトでも荒らされる危険があります
サイトが荒らされるというと,有名企業や官公庁のサイトがターゲットにされるというイメージあると思います.
このイメージは間違いではないのですが,最近では普通の人のサイトがなぜか荒らされるということが増えています.
これはおそらく,学生や精神的に幼い人間が逆恨みや愉快犯的な感じで他人のサイトを荒らしているのだと思います.
例えば,次のようなイメージです.
現在中学3年生で,最近親と先生に怒られてむしゃくしゃしている,それなりにITに詳しい,ひん曲がった人間がいるとします.イメージとしては戸愚呂(兄)みたいな下劣な中学生です.
その中学生Tがダラダラと「はてブ」などのネットを見ていると,たまたま少しだけ「はてブ」がついたあなたの記事を発見します.
そして記事を読んで,あなたの記事は何も悪くないのに,勝手に中学生Tは「偉そうに書きやがって」と逆切れしだし,あなたのサイトを荒らそうと決めます.
そんな感じで,あなたのサイトも悪い人間に愉快犯的に荒らされて,サイトをぐちゃぐちゃにされたり,全記事を消されたりする可能性があります.
他人のWordPressサイトを荒らす手口
「こいつのサイト荒らしてやるか」って決めた中学生TがどうWordPressをのっとって,サイトを荒らすのか説明します.
実際に私は他人のサイトを荒らしたことはないので(当たり前ですが),この方法で本当にうまくいくのかは分かりませんが,本当に荒らせるか試さないでください.
①WordPressのログイン画面に入れるかを試す
サイトを荒らす一番簡単な手口はログイン画面に入り,IDとパスワードを類推して普通にログインすることです.そのために中学生Tはまず,ログイン画面にいけるかどうか試してきます.
中学生Tは
“あなたのサイトURL/wp-login.php” をURLに入力して試してきます.
もしくは”あなたのサイトURL/wp-admin/”です.
本サイトの場合は
”http://www.how-to-make-affiliate-blog.com/wp-login.php”
です.
本サイトの場合は「ページが見つかりません」と出ますが,なにも対策していないとこれでログイン画面にたどり着かれます.
②ログインIDをあばく
次に中学生TはログインIDを類推してきます.
WordPressの初期設定ですと記事の最後に「投稿者は○○(posted by ○○)」とか表示されてしまいます.
もし初期設定のままですと,この投稿者名とIDが一緒なのでIDがばれてしまいます.
さすがに多くの人はこの投稿者名を非表示にしたり,他のニックネームにしていると思うのですが,それでもIDを探る方法があります.
中学生Tはここで,”あなたのサイトURL/?author=1”とURLを入力してきます.
本サイトの場合
”www.how-to-make-affiliate-blog.com/?author=1”
です.
すると,本サイトの場合は対策をしているので
”http://www.how-to-make-affiliate-blog.com/author/1/”
というページにとびますが,何も対策をしていないと,/authorのあとにIDが表示されてしまします.
これでログインIDがばれてしまいます.
③パスワードは力ずくで破る
ログイン画面のURLとログインIDを手にした戸愚呂(兄)じゃなくて,中学生Tは最後にパスワードを破ってきます.
おそらく,弟に120%の力を出させて,ランダムな英数字をひとつずつ試してきます.
また弟に頼らなくても,ランダムな英数字を自動でどんどん入力させる悪質なプログラムがこの世にはあります(ブルートフォース・プログラムといいます).
あとはこのプログラムがランダムにパスワードを入力し,いつかログインできるのを待ちます.
すると中学生Tはあなたのサイトにログインすることができ,あとはやりたい放題に荒らされます....
以上がWordPressの管理画面からログインされるまでの流れの想定です.
(本当にこれでうまくいくかは分かりませんが,試さないでください)
WordPressをのっとられないための最低限の対策
以上の,のっとられ方を想定したうえで最低限の対策を実施します.
①ログインURL,②ログインID,③パスワードの力づく
のどれかさえ最低限つぶしておけば良いです(理想的には全部つぶしておくべきですが).
この対策をプラグインを使って実施します.
「SiteGuard WP Plugin」のインストールと設定方法
本サイトでも過去に紹介した「SiteGuard WP Plugin」のプラグインを入れておけば,①ログインURLがばれる,③パスワードを力づくで破る,は対策ができます.
以下の記事で「SiteGurad WP Plugin」のインストール方法を説明しています.
「SiteGurad WP Plugin」をインストールすると,管理画面の左端のメニューの「設定」の下に「SiteGurad」という設定項目ができます.
これをクリックすると,以下のような管理画面になります.
ここで1番目の「管理ページアクセス制限」と2番目の「ログインページ変更」にチェックが入っていれば,/wp-login.phpや/wp-adminでログインページにたどりつかれるのを防げます.
3番目の「画像認証」にチェックが入っていれば,以下のようにログインするときに画像の文字を入れる必要があり,パスワードが悪質なプログラムで自動的に破られるのを防ぎます.
ここまでやっておけば,最低限の対策としては良いと思います.
「Edit Author Slug plugin」のインストールと設定方法
さいごに残った「②ログインIDを探られる」のを防ぐ方法を説明します.
そもそも
”あなたのサイトURL/?author=1”
でログインIDがURLに出てきてしまうのはauthor slugのせいです.
author slugとはどの人が記事を書いたかを示すURL情報で,通常は管理者一人が記事を書いているので,管理者のIDがそのままauthor slugにあてはめられてしまいます.
これを変更するには「Edit Author Slug」というプラグインをインストールします.
①WordPress管理画面から「プラグイン→新規追加」を選択
②右上の検索窓で「Edit Author Slug」を検索し,インストール,有効化します
③次にWordPress管理画面から「ユーザー→ユーザー一覧」を選択します
④すると一番下にAuthor Slugという項目ができています.ここを自由にいじることで,author slugをログインIDとは別のものに設定することができます.本サイトの場合は1に設定しています.
これでauthor slugからログインIDを知られることを防げます.
以上,WordPressがのっとられサイトが荒らされないための,最低限のセキュリティ対策の紹介でした.
いつ自分のサイトが荒らされてしまうかは分かりません.荒らされてからでは大変なので,最低限の範囲でセキュリティ対策をしておきましょう.
ご一読いただきありがとうございます.
