先日のことですが、恐ろしいことに僕が所有する、とあるワードプレスサイト(ブログ)が不正アクセスを受けました。
事の顛末とともに、折角の機会ですので今後どうやったら不正アクセスを予防できるのか、その手順についても書いてみました。
ワードプレスを使っているそこのあなた。
決して無関係ではありませんよ!
目次
これはその、とあるワードプレスの記事投稿画面です。
なんじゃこれ!?
全文英語で、ご丁寧に画像までついて。
僕は英語の投稿なんてしないし!(笑)
ということで、状況から明らかにワードプレスが乗っ取り(不正アクセス)被害にあいました…。
それにしてもむちゃくちゃな記事で、HTMLのヘッダからなにから全部乱暴に放り込んであります(苦笑)
それでもちゃんと記事が表示されてましたから、ワードプレスってある意味すごい!?
さて、乗っ取り(不正アクセスによる記事投稿被害)であることは明らかになりました。
ここで冷静になって、まずは乗っ取りの経路を確認してみましょう。
ワードプレスに投稿するにはいくつか方法があって
の3種類があります(他にもあるかもしれませんが)。
今回、メールアドレス投稿もアプリ投稿も使っていないことを確認し、結論としてダッシュボードにログインされたと言えます。
では管理者パスワードがバレたのかというとそうではなく、実はその昔作ったパートナーアカウントから侵入されたことが分かりました。
パートナーに分かりやすいように、弱いパスワードを設定していたのが狙われたようです。
まぁ、これは完全に僕のミスですね。
今回はたまたま、不正アクセスがあった直後に発覚したので被害は最小限に済みましたが、もし発見が遅れていたら…
わけわからない投稿がブログ上にずらずらと…
と思うとゾッとしますね(苦笑)
もちろん不正アクセスをする方が悪いのですが、だからといって対策しなければ被害にあうのは自分です。
自分の身は自分でしっかり守らないといけないということを今回の件で改めて痛感しました…。
では、あなたのブログが乗っ取られないために、以下に対策を載せておきます。
いずれも基本的なことで、何も難しいことはありません。
早速今からやっておいてください。
では僕はやってなかったのかというと…実は一部解除していました。
一時期、なぜか僕自身がログインできない状態になって、そのときに解除した設定を放置してしまってました。
こういうときは、ミスが重なるものですね。
トホホ。
以下、対策などと偉そうなこと言ってますが、自戒を込めて、です…。
超基本的なことですが、パスワードを強くしておくことが不正アクセス対策に有効です。
パスワードというのは家でいうところの鍵です。
その鍵が針金一本で開いてしまうようなものであれば心許ありませんよね。
そういうことです。
ワードプレス自体にパスワードを生成してくれる機能があるので、それを使えば簡単です。
「ユーザー」メニューの「パスワードを生成する」ボタンをクリック。
自動生成されたパスワードをそのまま使ってもいいですし、ちょっと短くしたり、入力しにくい文字を削除したりして使いやすいものにしてもいいでしょう。
いずれにせよ、強力なパスワードにしておくことが大切です。
このように設定したパスワードを暗記することは難しいため、パスワード管理ツールなどを使って一元管理しておくことをお勧めします。
ここからはXサーバー契約者のみの話ですが、Xサーバーでは海外のIPアドレスからのワードプレスへのログインをさせないようにできます。
まずワードプレスを運用しているドメインを対象ドメインに設定し、「WordPressセキュリティ設定」メニューを開きます。
「国外IPアクセス制限設定」タブを開き、ダッシュボードアクセス制限を「ON」にすればOKです。
できればこちらの設定もしておきましょう。
「ログイン試行回数制限設定」とは、短期間に一定回数ログインが失敗した場合にログイン自体を拒否する設定です。
銀行や証券会社などでもよくある設定ですよね。
もしご自身がログインを失敗してこの制限にかかったら、
一時的にOFFにしてログイン後、再度ONにすればOKです。
いやー、正直びっくりしました。
ワードプレスの運営ってもう8年目ぐらいなんですが、不正アクセス被害にあったのはこれが初めてです。
交通事故みたいなものかもしれませんが、今までが大丈夫だったからという理由でいい加減なことをしてはいけないという良い教訓になりました。
ということで、セキュリティ設定がしっかりできるXサーバーはお勧めです。
セキュリティをしっかりして、安心、安全なブログライフを。
自戒を込めて!
Xサーバーを検討するなら、こちらの記事も参考にしてくださいね。
↓
FIREブームの原典「お金か人生か」が暴く「現代の病」とは
外貨建て保険に逆風?金融庁が新たな共通KPIを導入。その中身とは!?
【セキュリティ対策】恐怖!アカウントが勝手に作成された!?対処法と心構えについてシェアします
LIFE SHIFT2 から学ぶ、先の見えない時代のFPの役割とは
知識を積み上げる!年末年始に読み込みたい、お勧め厳選3冊!
「配当節税二重取り」の穴が防がれる?令和4年税制改正大綱で判明。さらなる対策とは?
FPも顧客をお金もちにする?「行動経済学入門」カンタンレビュー
70年代に逆戻り?日本はもう先進国とは言いにくい。個人はどう対策すべき?
【勉強家必見】点から面への読書に進化する方法!「鈍器本」独学大全の魅力と、技法のご紹介
【初心者向け】FPにとってのネットメディアの役割を図解で説明
はじめまして、谷口と申します。
ブログ初心者です。
一昨日から英語で書かれた記事が勝手に上がっていて乗っ取られたみたいなのですが、全てやり直さなければいけないのでしょうか?
以前も1度乗っ取られてググりながら直して今のブログを始めたのですが、乗っ取られたみたいでどうすればいいのかわかりません。どうか助けていただけないでしょうか?
谷口さん
コメントありがとうございます。
それは大変ですね(汗)
対策としては
・パスワードを変更する
・メール投稿やRPC接続など、外部からの投稿機能を無効化する
で様子をみて落ち着いたらOKかと思います。
これを機に、WordPressのセキュリティ強化プラグインの導入も検討してみてくださいね。
お返事ありがとうございます。
かしこまりました。
すぐに対策をしたいと思います。
また、その対策をすればやり直す必要はないのでしょうか?
それで問題なければ、そのまま運用でいいとは思います。
すいません、こちらでは詳細が分からないですし、
コメント欄ですから、あくまでも参考程度で
ご自身の責任と判断でお願いしますね。
かしこまりました。
ありがとうございます。