ワードプレスが乗っ取られた!?不正アクセス対策とXサーバーの手順について。

先日のことですが、恐ろしいことに僕が所有する、とあるワードプレスサイト(ブログ)が不正アクセスを受けました。

事の顛末とともに、折角の機会ですので今後どうやったら不正アクセスを予防できるのか、その手順についても書いてみました。

ワードプレスを使っているそこのあなた。

決して無関係ではありませんよ!

目次

驚愕!ワードプレスに、身に覚えのない投稿が公開されている…

これはその、とあるワードプレスの記事投稿画面です。

なんじゃこれ!?

全文英語で、ご丁寧に画像までついて。

僕は英語の投稿なんてしないし!(笑)

ということで、状況から明らかにワードプレスが乗っ取り(不正アクセス)被害にあいました…。

それにしてもむちゃくちゃな記事で、HTMLのヘッダからなにから全部乱暴に放り込んであります(苦笑)

それでもちゃんと記事が表示されてましたから、ワードプレスってある意味すごい!?

まずは乗っ取りの経路を確認

さて、乗っ取り(不正アクセスによる記事投稿被害)であることは明らかになりました。

ここで冷静になって、まずは乗っ取りの経路を確認してみましょう。

ワードプレスに投稿するにはいくつか方法があって

  • ダッシュボードにログインして投稿
  • 特定のメールアドレスに送信して投稿
  • アプリと連携して投稿

の3種類があります(他にもあるかもしれませんが)。

今回、メールアドレス投稿もアプリ投稿も使っていないことを確認し、結論としてダッシュボードにログインされたと言えます。

では管理者パスワードがバレたのかというとそうではなく、実はその昔作ったパートナーアカウントから侵入されたことが分かりました。

パートナーに分かりやすいように、弱いパスワードを設定していたのが狙われたようです。

まぁ、これは完全に僕のミスですね。

今回はたまたま、不正アクセスがあった直後に発覚したので被害は最小限に済みましたが、もし発見が遅れていたら…

わけわからない投稿がブログ上にずらずらと…

と思うとゾッとしますね(苦笑)

もちろん不正アクセスをする方が悪いのですが、だからといって対策しなければ被害にあうのは自分です。

自分の身は自分でしっかり守らないといけないということを今回の件で改めて痛感しました…。

乗っ取られないための対策

では、あなたのブログが乗っ取られないために、以下に対策を載せておきます。

いずれも基本的なことで、何も難しいことはありません。

早速今からやっておいてください。

では僕はやってなかったのかというと…実は一部解除していました。

一時期、なぜか僕自身がログインできない状態になって、そのときに解除した設定を放置してしまってました。

こういうときは、ミスが重なるものですね。

トホホ。

以下、対策などと偉そうなこと言ってますが、自戒を込めて、です…。

パスワードを強くしておく

超基本的なことですが、パスワードを強くしておくことが不正アクセス対策に有効です。

パスワードというのは家でいうところの鍵です。

その鍵が針金一本で開いてしまうようなものであれば心許ありませんよね。

そういうことです。

ワードプレス自体にパスワードを生成してくれる機能があるので、それを使えば簡単です。

「ユーザー」メニューの「パスワードを生成する」ボタンをクリック。

自動生成されたパスワードをそのまま使ってもいいですし、ちょっと短くしたり、入力しにくい文字を削除したりして使いやすいものにしてもいいでしょう。

いずれにせよ、強力なパスワードにしておくことが大切です。

このように設定したパスワードを暗記することは難しいため、パスワード管理ツールなどを使って一元管理しておくことをお勧めします。

【Xサーバー】海外IPからのダッシュボードログインを拒否する

ここからはXサーバー契約者のみの話ですが、Xサーバーでは海外のIPアドレスからのワードプレスへのログインをさせないようにできます。

まずワードプレスを運用しているドメインを対象ドメインに設定し、「WordPressセキュリティ設定」メニューを開きます。

国外IPアクセス制限設定」タブを開き、ダッシュボードアクセス制限を「ON」にすればOKです。

【Xサーバー】短時間のログイン回数を制限する

できればこちらの設定もしておきましょう。

「ログイン試行回数制限設定」とは、短期間に一定回数ログインが失敗した場合にログイン自体を拒否する設定です。

銀行や証券会社などでもよくある設定ですよね。

もしご自身がログインを失敗してこの制限にかかったら、

一時的にOFFにしてログイン後、再度ONにすればOKです。

ワードプレスの乗っ取り対策(Xサーバー)まとめ

いやー、正直びっくりしました。

ワードプレスの運営ってもう8年目ぐらいなんですが、不正アクセス被害にあったのはこれが初めてです。

交通事故みたいなものかもしれませんが、今までが大丈夫だったからという理由でいい加減なことをしてはいけないという良い教訓になりました。

ということで、セキュリティ設定がしっかりできるXサーバーはお勧めです。

セキュリティをしっかりして、安心、安全なブログライフを。

自戒を込めて!

Xサーバーを検討するなら、こちらの記事も参考にしてくださいね。

FPにお勧め!Xserverでワードプレスをインストールする方法

プロフィール
行列FPメルマガ

コメントは5件です

  1. はじめまして、谷口と申します。
    ブログ初心者です。
    一昨日から英語で書かれた記事が勝手に上がっていて乗っ取られたみたいなのですが、全てやり直さなければいけないのでしょうか?

    以前も1度乗っ取られてググりながら直して今のブログを始めたのですが、乗っ取られたみたいでどうすればいいのかわかりません。どうか助けていただけないでしょうか?

    • 行列のできるFP事務所プロデューサー 林健太郎 より:

      谷口さん

      コメントありがとうございます。
      それは大変ですね(汗)

      対策としては

      ・パスワードを変更する
      ・メール投稿やRPC接続など、外部からの投稿機能を無効化する

      で様子をみて落ち着いたらOKかと思います。

      これを機に、WordPressのセキュリティ強化プラグインの導入も検討してみてくださいね。

      • 谷口 浩一朗 より:

        お返事ありがとうございます。

        かしこまりました。
        すぐに対策をしたいと思います。

        また、その対策をすればやり直す必要はないのでしょうか?

        • 行列のできるFP事務所プロデューサー 林健太郎 より:

          それで問題なければ、そのまま運用でいいとは思います。

          すいません、こちらでは詳細が分からないですし、
          コメント欄ですから、あくまでも参考程度で
          ご自身の責任と判断でお願いしますね。

  2. 谷口 浩一朗 より:

    かしこまりました。
    ありがとうございます。

コメントフォーム

名前 

 

メールアドレス 

 

URL (空白でもOKです)

 

コメント

トラックバックURL: 
プロフィール

こんにちは、林FP事務所代表の林健太郎です。ブログご訪問ありがとうございます。

ファイナンシャルプランナー(CFP®)、工学博士(阪大)。ライフプラン相談100世帯以上、個別の資産運用相談等を中心にFP業で収入を得ていますが、ネット集客が得意で北は北海道、南は沖縄まで日本全国に顧客を持っています。

FPは集客が難しいと言われる中、ネットだけで集客に成功しているFPはさらに少ないと思いますが、その秘密をメルマガでお伝えしています。

メルマガ詳細

プロフィール
メディア掲載実績など
FPジャーナル2018年9月号
2018年9月、日本FP協会の機関紙「FPジャーナル」(約20万部)の特集「長期x分散x積立投資を徹底検証」に林の記事が掲載されました。(→プロフィール



PHPPHPくらしラク〜る2017年12月号表紙

PHPくらしラク〜る2017年12月号・2018年1月号短期集中連載の監修をさせて頂きました。(→プロフィール



日経ヴェリタス2016-08-14

日経ヴェリタス2016年8月14日号「確定拠出年金 とことん活用術」にコメントが掲載されました。(→プロフィール



イオンカード会員誌mom 2015年12月号(30万部)に監修記事

イオンカード会員誌mom 2015年12月号(30万部)に監修記事が掲載されました。(→プロフィール



FP事務所ブログが月間16万アクセスを超えました



FP事務所メルマガ読者様が 4,000名 を超えました。



プロフィール詳細はこちら

お問い合わせ
人気記事 月間TOP10
最近の投稿