WordPressセキュリティの脆弱性に関する対応策
WPデフォルトのセキュリティの甘さ
ログインURLが統一されている
wp-adminつけたらログイン画面になるよね、
そこで入力するのは
- ID
- パスワード
この2つを突破されたら終わりなわけで。
IDが統一される謎の仕様
IDも統一されている。デフォルトでオーサーIDが設定されているから。
オーサーIDを調べる方法
/?author=1 を入れるとわかる。
パスワードはプログラムで突破される
総当たりでパスワード解除されたら終わり。
かつそこからスパム送られたらサーバー凍結。
最悪の場合芋づる式で解除解除解除
リンク貼ってたりサーバーが一緒だったり、なんらかの痕跡をたどって横展開された場合、すべての資産ドメインが同時に破られることも十分あり得る。
というわけで対策
ログインIDの変更
- ユーザー>編集>ニックネーム変更
- ブログ上の表示名をニックネームへ
SiteGuard WP Plugin
画像認証つけるとか、ログインURLそのものを変えるとか、防御策をうてる。
詳しくは「今年も猛威をふるうWordPress攻撃。初心者ならまずプラグインでセキュリティ対策『SiteGuard WP Plugin』」が参考になる。
被害があってからでは遅い
WPのセキュリティに関してギモンがあったので調べたらこんな感じに。
デフォルトのIDでしかも銀行みたいにログイン回数制限とかないし、たくさん作るから1つ1つ別のIDとPASSにするなんて誰もやってないだろうし・・というわけでまとめてみた。
今回トピックを掘り下げるうえできっかけになったのがこのブログ。毒舌日記と書いてあるけど正真正銘ちゃんとした内容。
これ