WordPressセキュリティーの第一歩

公開日： 2013/10/01 : 最終更新日：2013/11/19 WordPress覚書セキュリティー, ワードプレス

先日、ロリポップサーバー内にWordPressで構築しているブログ・サイトが猛打撃を受けたばかりですね。
対応に明け暮れたクリエイターさんお疲れ様でした。
数年前の大手サーバーのDBぶっ飛び事件と言い、データーベースを使ったWEBにますます恐怖を感じる今日この頃でございます。
結局データベースが復旧出来なかった例などもあるようで、怖いですね。
あれ以来、出力のみCMSを使って本番環境には静的にアップロードする方法？などをとる企業様、特に公的機関なども多くなってきたような話も聞きましたが、「喉元過ぎれば熱さ忘れる・・・」時間の経過が人間に与える「忘れる・・・」という都合の良い力が働いているのでしょうか？どうなんだろ！？

後述のものはサーバー会社の問題ですが、前述のWordPressを狙った猛烈アタック。
ソースを見ればWordPressのサイトだと言う事がすぐわかる。
そして、管理画面のURLもだいたい察しが付く。このあたりだけでも危険！

そしてそして、以前の古いWPの時はこんな便利じゃなかったはず？
先日久しぶりに最新のWordPressをインストールテストしてみてびっくりしたのですが、DBのセッティングなども全部ブラウザ上で出来ちゃうのね！
これ、たぶん昔々のバージョンではこの機能はなかったような曖昧な記憶なのですが、便利な物の裏には必ず危険が伴うと認識しましょう！

（原発と同じ・・・元々はとんでもない大量殺人大量破壊兵器！平和利用の裏にも大量破壊兵器の危険性は必ず付きまとうのです。）

ブラウザの指示通りに進んでいくと、お決まりのように「ユーザー名」が「admin」となり、管理者権限が与えられます。
これをこのまま使っていたWPユーザーがターゲットとなったようです。そのような情報！？

管理画面のURLもだいたい察しが付き、ユーザー名がわかれば残すはパスワード。ロボットがランダムにガンガン打ち込んで行けばいいのですから。

なので・・・セキュリティーの第一歩としてまずはさっさと管理者ユーザー名を変えましょう！
出来れば二重パスワードとなるくらいに複雑なものを設定すればちょっとだけ安心。

まずは現在の管理者権限でログイン。