wordpressは、ハッカーによく狙われます。知らない間にスパムメールの踏み台になっていたり、クロスサイトスクリプティング(他人のログイン情報を盗む方法)の踏み台にされていたりします。
上記のハッキングの手法は、単純にワードプレスの管理者権限のあるユーザーを増やしてその管理者権限にてサイトのスクリプトを書き換えて行われる事が有ります。
この為にハッカーはワードプレスの最初の管理者のパスワードを解く為に総当たりでログインパスワードを入力してくるのです。

security-1202344_960_720

ハッキングを見分ける方法

ハッキングされたかどうかは以下のように発見する事ができます。
・大量のアクセスがサーバーログに突然記録される
・トップページ等に、記憶にないリンクコードが大量に挿入されている
・コメントにurlが大量に書き込まれる
・wordpressのコンテンツフォルダやプラグインフォルダに大量にファイルが増えている
・wordpressのユーザーが勝手に増える
etc

ここでは、管理画面を乗っ取られるハッキングをされる可能性がある、ログインをよりセキュアにする方法をご紹介します。

ユーザー名、パスワードについて

ユーザー名は admin 以外の物にしましょう。過去のワードプレスではadminというユーザー名がデフォルトになっていた為、ハッカーはプログラムを動かしてパスワードだけを発見すれば良かった為、多数のwordpressサイトが被害を受けました

パスワードは英文字の大文字小文字数字を一つ以上含む、12文字以上のパスワードにします。
ワードプレスで最初にパスワードを設定する画面でパスワードの強度が表示されますが、最も強いところまでインジケーターがあがるパスワードを設定します。

ログイン画面にキャプチャをつける

プラグインを使用してログイン画面にキャプチャをつけるとハッカーは、総当たり攻撃をしにくくなります

Captcha on login

何度もログインに失敗したユーザーを閉め出す

こちらのプラグインを使うと、何度もログイン試行をしたユーザーを一定期間アクセス不能にする事ができます。

*何度試行したユーザーをどれほどの時間閉め出すか設定できます。
login-lockdown

Login lockdown

弊社のワードプレス脆弱性診断サイトで、脆弱性をチェックしてみましょう

ワードプレスのセキュリてティー対策は全てワードプレスドクターにお任せください

関連記事:

  1. WordPress セキュリティ上危険な運用ランキング TOP5
    ワードプレスのハッキング被害はワードプレスが全世界で多くのサイトで使われるようになってきてから所感としては非常に多くなっていると思います。ここではハッカーに最も狙われやすい運用上危険な行為をランキング形式でご説明したく思います 5位ーログイン画面とxmlrpc.phpに何度でもアクセスできる ハッカーはログイン画面とxmlrpc.phpというファイルにワードプレスの管理者権限を乗っ取るために、ログインIDとパスワードの総当たり攻撃を仕掛けてきます。...
  2. ワードプレスドクターが教えるWordPressセキュリティ対策7選
    こんにちはワードプレスドクターの吉田です。今回はワードプレスのセキュリティーを向上する上で最も基本的な事項を公開いたします。これをしておけば100%とは保証しかねますがセキュリティーはかなり向上すると思います。 初めに〜ハッカーがワードプレスを狙う理由と行う事〜 最初にハッカーが何故ワードプレスを狙うのかをご説明します。ワードプレスは世界中できわめて多くのサイトで利用されているシステムです。脆弱性も公開されており、古いバージョンのワードプレス(特に3.4〜3.6)はハッカーにとってはわりと簡単に管理者権限を奪取して他人のウェブサイトを書き換える事もできてしまいます。この事によって、ハッカーが行う事は多種多様ですが、基本的には自分の手を汚さずに他人のウェブサイトを改ざんして、様々な利得を得る為にハッキング行為を行っています。ハッカーが他人のウェブサイトを改ざんして行う事の類型は下記となっています。...
  3. wordpress ワードプレスのログインのセキュリティ強化を行う
    ワードプレスのログイン権限の奪取によりサイトの改ざん被害を受ける前に対策をしましょう。 ログインの脆弱性から管理権限をハッカーに奪取されたら? ワードプレスのユーザーが勝手に増えるというのが最も目立つ変化です、ハッカーがあなたのサイトの管理者権限を乗っ取っているという事になります。ハッカーはユーザーを生成することにより、ワードプレスの管理画面内部からサイトの改ざんを行いマルウェアの配布や、スパムメールの送信、危険なウェブサイトへの誘導などのコードを仕込んできます。...
  4. WordPress(ワードプレス)で勝手にユーザーが増えていたら注意が必要です
    ワードプレスである日突然気づくと、一人しか管理者が居なかったサイトに複数のユーザーがいつの間にか追加されていたりしたらとても気持ちが悪いですよね。今回は、ワードプレスで知らない間にユーザーが増えていた時、その理由として考えられる事と、対処方法をご紹介します。...
  5. WordPress ワードプレス ログインできない 404 Not Foundと表示される
    ワードプレスのログイン画面がNot foundになる場合、何らかの原因例えばサイトの階層を変えた等によって、サイトURLの設定が実際のURLとずれてしまった事によりNot foundになっている可能性があります。この場合の簡単な対処方法についてここでは書きます。...
  6. ロリポップでWordPress (ワードプレス)のハッキング被害が疑われるときは?
    ロリポップは多数のワードプレスサイトをホスティングしていることで有名なサーバーサービスです。ロリポップでホスティングされているワードプレスサイトはバージョンが古いことも多く、ハッキング被害が多発しています。今回はロリポップサーバーでワードプレスがハッキングされているときの対処方法(応急処置)をお知らせいたします。 またWordpressの4.7では、深刻な脆弱性も発見されていることからこのバージョンのワードプレスをお使いの方は、新しいバージョンとはいってもご注意いただく必要があります。...