wordpress 7.4.0、7.4.1の脆弱性が
指摘され、慌ててアップデートした
記憶も新しいうちに
wordpressのセキュリティ強化しちゃおうよ
ってお話を本日はお届けする次第。
wordpress 7.4.0、7.4.1の
なにがやばいかって
よそからアクセスすることが
比較的簡単ってあたり。
また、例え脆弱性を改善した
7.4.2であっても、
ブルートフォースアタックといって
手当たり次第にIDとパスワードの
組み合わせを試して
ログインしたのち、
悪さするって攻撃
単純でありながら
効果は絶大で普通の単語と数字の
組み合わせ程度のパスワードなら
10秒くらいで突破できてしまうようです。
恐ろしい高性能!!!
集客のための大切な資産を
乗っ取られてしまっては大変です。
殺られる前に対策しましょう
そうしましょう!
◆adminユーザー削除
wordpress 7.4.2の初期ユーザーIDが
なんだったか覚えていませんが
もし管理者にadminがいたら、
即削除してください。
adminは初期ユーザーのため、
誰でも知っています。
wordpressのログインには
IDとパスワードを使ってログインするのは
ご存知とかと。
adminを使っているってことは
IDがバレてるわけですから、
あとはパスワードをつきとめればいいだけです。
半分バレてるってことです。
そりゃドアを半分開けてるようなものです。
簡単にこじ開けられてしまいますよ!
【削除方法】
ダッシュボード → ユーザー → ユーザー一覧で表示できます。
”admin”にカーソルを合わせると『削除』が現れるので
クリックして次ページで削除を実行すれば
消せます。
◆ログインページと管理ページのアクセス制限
不正ログインは必ずログインページに
アクセスしてきます。
ですから、
よその人がログインページに
アクセスできなければ
ブルートフォースアタックは
効力を失います!
完全無力することができます!
ちょっと難しいですが
頑張ってくださいね。
今までの苦労を失うよりは
マシですよね。
【アクセス制限方法】
FTPで『public_html』フォルダを開き、
.htaccessというファイルを探してください。
非表示になっている場合があるので、
FTPツールによって違いますが、
”不可視ファイルを表示”とか
そんなニュアンスを探してみてください。
.htaccessをダウンロードするなりして
メモ帳などのテキスト編集するソフトで開き、
以下の記述をコピペします。
[su_box title=”.htaccessにコピペ” box_color=”#bd1616″ radius=”2″]
<files wp-login.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from zzz.zzz.zzz.zzz
</files>
[/su_box]
xxx.xxx.xxx.xxxとzzz.zzz.zzz.zzzには
それぞれグローバルIPアドレスと
プライベートIPアドレスを指定します。
IPアドレスを調べる方法はこちら
コピペし、IPアドレスを入力したら保存して
FTPで『public_html』にアップロードします。
次に『wp_admin』フォルダを開きます。
.htaccessファイルを作ります。
メモ帳などのテキスト編集するソフトで開き、
以下の記述をコピペします。
[su_box title=”.htaccessにコピペ” box_color=”#bd1616″ radius=”2″]
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from zzz.zzz.zzz.zzz
[/su_box]
さきほどと同様に
xxx.xxx.xxx.xxxとzzz.zzz.zzz.zzzには
それぞれグローバルIPアドレスと
プライベートIPアドレスを指定します。
保存したら、
『wp_admin』フォルダに
FTPでアップロードして完了です。
他に2段階承認と
画像承認をくわえれば、
ほぼ対策しきったことになります。
だが!しかし!
この続きはまた次回お話させていただきます!
なので、絶対に!
また読みにきてくださいね!
約束ですよ!
