WordPressに対するブルートフォースアタックを防ぐためにできること2つ htaccessによる海外アクセス制限拒否
ここ最近話題になっていますが、WordPressの管理者権限が狙われています。
総当りでユーザー名やパスワードを試して攻撃する「ブルートフォースアタック」というものです。
WordPress管理者の権限を乗っ取られてしまうとブログが大変なことになるのはもちろん、
他サイト攻撃の中継にされてしまうと自サイトが加害者側になってしまうこともありえます。
大手サーバーでは、海外からのアクセスを拒否する対策も行われています。
スタードメインやXサーバーなどは、海外からのアクセスを弾く機能を標準装備しました。
しかし、サーバー会社の対策だけでは限界がありますから、自サイトのWordPressに関する設定を見なおしてみましょう。
ユーザー名「admin」の使用をやめる
WordPressのバージョンが古い場合は、ユーザー名「admin」が標準となっていました。
このadminの権限を小さくしておきましょう。
WordPress管理画面の左メニュー「ユーザー」→「ユーザー一覧」を開き、「admin」を選択します。
ユーザー情報を編集できますので、「権限グループ」を「このサイトでの権限なし」にしておきましょう。
adminを削除するのがベストかもしれませんが、adminで投稿した記事も削除されてしまいます。
ユーザーを削除するときには、「投稿をアサイン」するのを忘れないようにしましょう。
.htaccessで日本以外からのアクセスを拒否する
かなり大胆な手ですが、日本以外からのアクセスを拒否することもできます。
この方法に関しての注意と条件は以下の通りです。
・必要な海外からのアクセスも遮断してしまう(海外からブログを見ている方がおられるかも)
・Googleなどのクローラーを遮断してしまう可能性がある(インデックスされない)
・FTPでWordPressフォルダにアクセスできること
・Windowsのメモ帳ではなくNotepad++などのテキストエディタを使う
http://sourceforge.jp/projects/notepad-plus/
ここから先は自己責任でお願いいたします。
1.FTPでWordPressをインストールしたフォルダにアクセスし、「.htaccess」をダウンロードする。
2.ダウンロードした「.htaccess」は必ずバックアップしておく。
3.以下のサイトから、「.htaccess」ファイルをダウンロードする。
http://www.cgis.biz/tools/access/
4.自サイトの「.htaccess」を開き、行の末尾に「3でダウンロードした.htaccess」の内容をコピーする。
(自サイトの「.htaccess」に、3の「.htaccess」を追記した.htaccessファイルができあがる)
6.「4で作成した.htaccess」をFTPでアップロードする。
サイトがエラーになった場合は、バックアップしておいた「.htaccess」を上書きしましょう。
エラーが出る場合は、文字コードが違っていたり末尾を改行していない場合があります。
設定が面倒な場合は、海外からのアクセスを拒否するスタードメインやXサーバーなどに移転するのも一つの方法です。
対応が早いサーバーは、セキュリティの意識も高く、サイトが乗っ取られた場合のサポートも万全であると考えることができるかもしれません。
WordPressはブログの標準になりつつありますが、それだけ狙われているという意識を持っているのが大切なのかもしれません。