WordPress に大規模なアタックがされているらしいので、対策することをオススメします。
何が行われているのか
TechCrunch Japan の記事によると WordPress のサイトに ‘admin’ ユーザを狙ったブルートフォースアタック(Brute force attack)が行われているそうです。
そもそもID認証というのは、IDとパスワードの両方を推測しなければならないことで安全性を高めています。このうちの片方が分かってしまうと安全性が格段に下がります。
今回の攻撃は admin というインストール時にデフォルトで作成されているIDをそのまま使っているユーザを狙って、admin という ID があれば、そのパスワードだけを総当たりすることで侵入しようとする攻撃です。
何はともあれ admin というユーザを削除しましょう。
admin を削除する前に管理者権限のユーザを作る
WordPress では admin のユーザ名を変更することはできませんので、管理者権限を持ったユーザを作って admin を削除する必要があります。まずは、新しく管理者権限を持ったユーザを作りましょう。
ダッシュボードのユーザー一覧で新規追加を選ぶとユーザを作成することができます。
このユーザ作成時に権限グループとして「管理者」を選択してユーザを作成します。このユーザが今後の管理者になります。
adminを削除しよう
ユーザを作ったら WordPress からログアウトして、先ほど作成した新しいアカウントでログインします。ログインしたらユーザー一覧で admin を削除しましょう。これで admin を狙った攻撃からサイトを守ることができます。ブログを書いている人に管理者権限を与えていませんか?
WordPress ではブログを誰が書いたかを表示してくれます。このユーザに管理者権限を与えていたりしませんか?最初に書きましたが ID が分かることで安全性が格段に下がります。ブログを書くユーザには管理者権限を与える必要はありません。先ほど権限グループを選んだ時に、編集者、投稿者という権限グループがありました。ブログを書くためには投稿者の権限グループのユーザであれば充分です。
そこで、ブログを書くためのアカウントは管理者アカウントとは別のアカウントを作って投稿者や編集者の権限グループとしておくと良いでしょう。
私は編集者権限グループに設定しています。
それぞれの権限グループでできることの違いは非常に細かいのでここでは割愛しますが、WordPress Codex に詳細が記載されていますので、興味のある方は見てください。
ユーザーの種類と権限 – WordPress Codex 日本語版
WordPress 関連のエントリ
インストールや設定変更とデータ移行
プラグイン
バージョンアップ
カスタマイズ
Stinger 3関連
チューニング
MAMPを使ったバックアップサイトの構築
開発関連
最後まで読んでいただきありがとうございます。
左のアイコンをクリックして、このブログを Feedly に登録していただけると嬉しいですFacebook ページでも情報を発信していますのでよろしかったら「いいね!」をお願いします
RSSリーダへの登録は こちら からどうぞ。
