2013年7月、8月にかけてWordPress への不正アクセスや改ざんの被害が増えてきております。

 ■WordPress http://ja.WordPress.org/

不正アクセス、不正ログイン、ウェブサイトの改ざんなどの被害を防ぐためには
お客様のご協力も不可欠です。対策について以下の内容をご確認の上対策をして下さい。
不明な点が有りましたらお問い合わせ下さい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイト改ざんの原因について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

不正アクセスの多くは、ブルートフォース攻撃と呼ばれる、IDやパスワード
を手当たりしだいに入力されるもの、もしくはWordPressの脆弱性を狙ったものです。

■ WordPress管理パネル(ダッシュボード)のパスワードが平易なもの、推測しや
 すいもの、長期間変更されていない状況となっている

■WordPressなどのCMSの脆弱性対応が不十分(バージョンアップなど)

■FTPアカウントとパスワードが、平易なもの、推測しやすいもの、長期間変
 更されていない状況となっている

このような場合、不正アクセスを受ける可能性が高く、サイト改ざんなどの
被害にあってしまうかもしれません。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
対策について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■WordPress管理パネル(ダッシュボード)のログインパスワードを変更しましょう。

 その際、以下の点に留意願います。
   ・パスワードにIDと同じフレーズを入力しないこと(adminとadminなど)
   ・英単語や簡単なパスワードを利用しないこと
      admin、1234、0000、passwordなど
   ・ご利用のドメイン名と同じパスワードとしないこと
   ・アルファベット(大文字小文字)、数字、記号を組み合わせた
    パスワードをご利用になることをお勧めします。
   ・定期的にパスワードを変更すること

■WordPressのバージョンアップをご検討ください。

 ご利用のWordPressの更新がある場合は、セキュリティ上重要な更新が含まれて
 いる場合もございますため、定期的なご確認をお願いいたします。
 
 また、プラグインにも脆弱性が潜んでいる場合もございますため、
 バージョンアップや、不要なプラグインは削除するなどの対策も有効です。

■WordPress管理パネル(ダッシュボード)へのアクセス制限方法

 WordPress管理パネル(ダッシュボード)が存在するディレクトリに
 ある .htaccessファイル を以下の例を参考に編集してください。

例:IPアドレス(192.0.2.1)からの接続のみを許可する
——————————————————–
# wp-login.phpについて IPアドレス(192.0.2.1)からの接続のみを許可する場合

order deny,allow
deny from all
allow from 192.0.2.1

——————————————————–
※IPアドレス(192.0.2.1)は、設定したいIPアドレスに置き換えてください。

■FTPパスワードの変更(シェアード、マネージドプランのみ)の変更をしましょう。

こちらも上記と同じようなルールでパスワードを変更するか、
長期間使っていないFTPアカウント自体がある場合には削除してください。

■FTPの接続制限の設定(シェアード、マネージドプランのみ)を検討ください。

コントロールパネルにて、FTP接続制限の設定も可能となっております。
デフォルト(未設定)の状態では、どこからでもFTP接続が可能となっておりま
すので、FTP接続を行うIPアドレスを登録していただくことで、他のIPアドレス
からの接続は出来ないようになります。

この記事を書いた人

岩野英穂
岩野英穂
スタジオ・イワノ 代表
・習志野商工会議所 会員
・船橋商工会議所 1号議員 サービス業部会 副部会長 広報委員会・情報化推進委員会所属
・千葉県吹奏楽連盟賛助会 会員
・習志野ロータリークラブ 会員