wordpress 7.4.0、7.4.1の脆弱性が
指摘され、慌ててアップデートした
記憶も新しいうちに
wordpressのセキュリティ強化しちゃおうよ
ってお話を本日はお届けする次第。

wordpress 7.4.0、7.4.1の
なにがやばいかって
よそからアクセスすることが
比較的簡単ってあたり。
また、例え脆弱性を改善した
7.4.2であっても、
ブルートフォースアタックといって
手当たり次第にIDとパスワードの
組み合わせを試して
ログインしたのち、
悪さするって攻撃
単純でありながら
効果は絶大で普通の単語と数字の
組み合わせ程度のパスワードなら
10秒くらいで突破できてしまうようです。
恐ろしい高性能！！！
集客のための大切な資産を
乗っ取られてしまっては大変です。
殺られる前に対策しましょう
そうしましょう！

◆adminユーザー削除

wordpress 7.4.2の初期ユーザーIDが
なんだったか覚えていませんが
もし管理者にadminがいたら、
即削除してください。
adminは初期ユーザーのため、
誰でも知っています。
wordpressのログインには
IDとパスワードを使ってログインするのは
ご存知とかと。
adminを使っているってことは
IDがバレてるわけですから、
あとはパスワードをつきとめればいいだけです。
半分バレてるってことです。
そりゃドアを半分開けてるようなものです。
簡単にこじ開けられてしまいますよ！
【削除方法】

ダッシュボード → ユーザー → ユーザー一覧で表示できます。
”admin”にカーソルを合わせると『削除』が現れるので
クリックして次ページで削除を実行すれば
消せます。

◆ログインページと管理ページのアクセス制限

不正ログインは必ずログインページに
アクセスしてきます。
ですから、
よその人がログインページに
アクセスできなければ
ブルートフォースアタックは
効力を失います！
完全無力することができます！
ちょっと難しいですが
頑張ってくださいね。
今までの苦労を失うよりは
マシですよね。
【アクセス制限方法】
FTPで『public_html』フォルダを開き、
.htaccessというファイルを探してください。
非表示になっている場合があるので、
FTPツールによって違いますが、
”不可視ファイルを表示”とか
そんなニュアンスを探してみてください。

.htaccessをダウンロードするなりして
メモ帳などのテキスト編集するソフトで開き、
以下の記述をコピペします。
[su_box title=”.htaccessにコピペ” box_color=”#bd1616″ radius=”2″]
<files wp-login.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from zzz.zzz.zzz.zzz
</files>
[/su_box]
xxx.xxx.xxx.xxxとzzz.zzz.zzz.zzzには
それぞれグローバルIPアドレスと
プライベートIPアドレスを指定します。
IPアドレスを調べる方法はこちら
コピペし、IPアドレスを入力したら保存して
FTPで『public_html』にアップロードします。
次に『wp_admin』フォルダを開きます。
.htaccessファイルを作ります。

メモ帳などのテキスト編集するソフトで開き、
以下の記述をコピペします。
[su_box title=”.htaccessにコピペ” box_color=”#bd1616″ radius=”2″]
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from zzz.zzz.zzz.zzz
[/su_box]
さきほどと同様に
xxx.xxx.xxx.xxxとzzz.zzz.zzz.zzzには
それぞれグローバルIPアドレスと
プライベートIPアドレスを指定します。
保存したら、
『wp_admin』フォルダに
FTPでアップロードして完了です。
他に2段階承認と
画像承認をくわえれば、
ほぼ対策しきったことになります。
だが！しかし！
この続きはまた次回お話させていただきます！
なので、絶対に！
また読みにきてくださいね！
約束ですよ！

本日のまとめ
①世の中には悪い人がいます
②悪さされないために対策が必要です
③悪さのレベルが洒落じゃ済みません

[template id=”1200″]