セキュリティ対策は重要！ワードプレスの乗っ取りはインストール直後

私がWordpress（ワードプレス）を始める時に考えたのは年間費用やテンプレートのデザインやアクセス数は無料ブログと大きく違うのかなって事だけだった。

でもそれでは不十分だった！最初にする事はセキュリティ対策

ライブドア、FC2、シーサーなどの無料ブログを試したが不正アクセス対策については「パスワードを複雑にしてたら大丈夫だよね」程度での認識でしかなかった。実際にサイト運営して分かったことは世界の人が利用するWordpressは家の鍵を閉め忘れるより重要だと思った。

乗っ取りが始まる期間

ワードプレスのアクセスは最初の頃はほとんど無い、もしくは0の日もある。普通は記事更新すると少しずつ訪問者が増えてくるがイタズラをしようとする奴らに期間は関係なかった。

私が体験したのは6月11日の夕方にインストール、海外から怪しい人がきたのは6月12日の午前6時には来てました。確かに世界は24時間どこかで動いてるというけど早すぎる！

だって始めの一ヶ月はデザイン設定のため検索エンジンがこないように設定をしてたのに。

ここにチェックをいれてた。

当時は検索にかかってなかった。

今でも分からない！
どうやってこのサイトの存在を知ったの。

私はインデックスされなければアクセスはないと思いこんでた。日本からは一度もないのに海外からは毎日ある。ガンガンとドアをノックして呼んでもいないのに入ってこようとしてた。

数日は普通にトップページにきてた人が真夜中に攻撃してきてたりィィーｵｫｫｰｰｰ!!二日目には変更ログイン画面をみつけられ、ユーザー名探しをされてた！

どうしてー。
原因はなに？

メタ情報だ！

これ「ログイン」「投稿の RSS」「コメントの RSS」「WordPress.org」が見れる。インストールした時点でついてくるけど自分以外しらなくてもいい情報だから外したほうが安心。

テーマsimplicityだと「外観」→「ウィジェット」の場所にあるとこを削除。

どこを見てるのか調べはじめて気付いた。「サイトURL/wp-login.php」で変更ログインを検索されて見つけたら次は「administrator」で管理者探しをされてる。

自分のログイン画面が分からなくなった時に試す方法だが他人のとこでやるなんて怖い人だ！なかなかホッとすることができない。

ワードプレスを始めるにあたってインストール時に決めるユーザー名とパスワードは英単語を避けて長く複雑にする。これで「admin」攻撃をしてくるのを防げた。

すぐにセキュリティ対策のプラグインをいれて対策する

とりあえず初心者だった私が助かったのはデザインのカスタマイズや記事更新は後回しにして悪戦苦闘しながらもセキュリティを考えてたことかなぁ。

考えつくのはこんな感じ。
ほかにも方法はありそう。

プラグイン探しや方法に手間取るなら、とりあえずなが～いパスワードに変更してからセキュリティ対策をしていくのもありだと思う。

パスワードの強度が「非常に弱い・弱い・中程度・強力」の4段階でわかる強度インジケータを利用しながら設定すれば単純なものにはならずに変更できます。

長くても破られる可能性があるので過信は禁物

一番は.htaccessファイルを編集できるならIPアドレスでアクセス制限が一番かな。

ただ私の場合はIP制限とベーシック認証は使ってません、その他は全て対策済み。毎回ログインするたびに面倒になる気持ちが強いけど仕方ないよね。

はじめの10日ほどは入れ替わりが激しかったのが徐々に減っていった。が、1人だけ一ヶ月たってもめげずにIP変えながらウロウロしてて毎日、違う戸口から侵入を試みてる。

何を見つけてるのかと思ったらプラグインの脆弱性を調べてるぽい。検索したら不動産関連や広告をスムーズにのせるタイプだった。日本では紹介されてないはず。

1個だけWordPressのバージョンと互換性があるのも調べてた。これについては難しいが自分のは安全だと思ってても、いきなり脆弱性がみつかる事もあるんだろうなぁ。

当時の私はウロウロしてるのを横目で見ながらサイドバーとかファビコンの作成で悩んでたが自宅の窓から不審者を見てる気持ちだった！！

対策として「プラグイン」を詰め込みすぎないこと

多くなれば脆弱性もみつかる可能性も高くなるし、サイト自体が重くなってくる。それに相性があるから動かなくなることもある。

気になるのがあれば有効化する前に検索すればプラグイン同士の相性も分かる事が多いです。更新の時にやっておくことはこれ。

バックアップは大切

今まで入れてたプラグインでも更新により画面が真っ白になってうごかなくなることもある。この状況、初心者だと時間だけが過ぎて対処できないこともある。

私はプラグインではないがfunctions.phpをいじってて画面が固まった。

戻せなかった時にレンタルサーバーのmixhostにお世話になった。すごい簡単、早くすればよかった。数クリックだけでバックファイルの復元をすることができました。

・インストール直後が一番狙われやすく一週間は続いて、その後はチラホラ。

・検索エンジンにインデックスされてるかは関係ない。

・プラグイン選びは使用してる人が多いほうが最初は安心できる。