【WPユーザー必見】今すぐユーザー名を変更してパスワードを強化せよ!!

力ずくでパスワードを解読・取得するボットの攻撃が、今週に入って以降WordPressで構築されたサイトに対して大量に行われているという話が出回っています。

仮にクラックされたら、いったいどんなことになってしまうのか･･･。。そんなことになる前にできる対策はしておきましょう。

攻撃はデフォルトユーザーネームが対象

現在、ブルートフォースアタックが行われている対象は、デフォルトユーザーネーム･･･いわゆる「admin」で利用されているWordPressサイトだとされています。

このデフォルトユーザーネームと、大量の一般的なパスワードを使ってボットネットがクラックを試みようとしているわけです。

これに対抗するため、ユーザー名の変更とパスワードの強化をしておきましょう。

WordPressでユーザー名とパスワードを変更する

「admin」ユーザーで利用している場合は、まずは新たにユーザーを追加しましょう。

サイドバーメニューの[ユーザー]から、[新規追加]を選択します。

ユーザー追加画面で「admin」以外のユーザー名を入力し、必須項目のメールアドレスを入力しましょう。姓名、ウェブサイトのURLについては必要に応じてどうぞ。

続いてパスワードですが、強度インジケータが「強力」となるものにしておくのが望ましいですね。

パスワード管理アプリケーション「1Password」があれば、パスワード生成機能が使えるので、それを使って作成するのもいいかもしれません。

こんなWeb系ツールを使うのもアリですかね。

で、ここで忘れちゃならないのが、権限グループです。ここは必ず「管理者」を選択するようにしてください。

ユーザーの新規作成を完了したら、一度WordPressからログアウトし、作成したユーザーで再びログインし、「admin」ユーザーを削除します。

この時注意しないといけないのが、これまで投稿した記事の移行です。
必ず新しく作成したユーザー(このときにログインしているユーザー)に、記事をすべて移行するよう指定してから、削除をするようにしてください。
まかり間違ってこれまで書いた記事がすべて消えることもありますからね。要注意です。

このあたり、英語ですが以下の記事が詳しいので、参照しておくといいですよ。

なお、すでにデフォルトユーザーネームは使用していないという場合でも、パスワードの強度に不安がある人は、できるだけ強度の高いパスワードにするよう、ユーザー編集から新しいパスワードにしておくといいかもしれません。

IP制限にはあんまり効果がないかも･･･?

今回の攻撃に対策するため、レンタルサーバー側で国外のIPアクセス制限機能を実装したりしているところもあるみたいですね。

この対策に関しては、効果があるのかないのか微妙なところらしいです。

というのも、WordPress創始者のマット・マレンウェッグ氏が書いた記事によると、ボットネットは90000件以上のIPアドレスを使っていると言われているそうで、1秒毎に違うIPでクラックを試してくるとのこと。

マット氏いわく、ユーザーネームの変更とパスワードの強化、さらにWordPressの最新版を使うことで、今回のボットネットによる攻撃に限らず安全性が保たれ、問題が起こることはほぼないそうなので、IP制限をかけるよりも、まずは上記を実行しておくことが望ましいでしょうね。

上記の記事も併せて読んで、ぜひ安心できるWordPress環境を作り上げてください。