最近、WordPressへの大規模なハッキングが発生しています。
それは、管理者アカウントがハッキングされ、リダイレクトが仕込まれてその先にマルウェアが…というもの。
ユーザ名がadminのままでは、かなりまずいみたいですよ。
ですので、ユーザー名変更とともに、プラグインを使用して、セキュリティ強化を実行します。
まずは、ユーザー名をadminから任意のものに変更し、パスワードも強化する。
次に、「Limit Login Attempts」というプラグインを使ってさらに強化します。
ユーザー名「admin」を変更
普通にはユーザー名を変更する事が出来ません。
ですので、もうひとつ新たに管理者を追加し、その上で、古い方のアカウントを削除する方法でユーザー名を変更します。
変更手順
1. まずはWordpress管理画面にログイン
2. 管理画面 > ユーザー > 新規追加 へ移動
3. ユーザー名、メールアドレス(前と同じはNG)、パスワードを入力し、権限グループを管理者選択して追加
※パスワードも強化してセキュリティアップしましょう。そのためにはインジケータが強になるぐらいのものに変更しておきましょう。
4. 一度、ログアウトする
5. 新しく作った管理者アカウントでログイン
6. 管理画面 > ユーザー > ユーザー一覧 へ移動
7. 古い方の管理者アカウントを選択し、削除
8. 「ユーザーの投稿をどうしますか?」と聞かれるので、「すべての投稿を以下のユーザーにアサイン」を選択
9. 削除を実行
で、完了です!
adminではないユーザー名への変更とパスワードが強化され、今までよりセキュリティ度アップですね。
では、次へ。
Limit Login Attemptsで不正ログイン攻撃に備える
Limit Login Attemptsプラグインは、ログイン画面に総当り攻撃(ブルートフォースアタック)を受けた場合、そのIPアドレスに対して一定時間ロックをかけるプラグインです。また、攻撃をうけた場合、それを検出しログに残してくれるようです。
ハッキングされた場合、一時的にロックされれば安心ですよね。
では、早速、導入!
インストール・設定手順
1. 管理画面 > プラグイン > 新規追加 へ移動
2. 「Limit Login Attempts」で検索
3. 一番上に出てると思うので、クリックしてインストール
4. プラグインを有効化
5. 日本語化したい人はこちら↓↓↓↓↓↓↓↓
日本語化してくれている方がいるので有り難く使わせもらいます!
Limit Login Attemptsの日本語化をしてみた
http://fukuyama.co/limit-login-attempts-ja
limit-login-attempts-ja.poから、limit-login-attempts-ja.moファイルをダウンロード。
limit-login-attempts-ja.moファイルを /wp-content/plugins/limit-login-attempts/ に「limit-login-attempts-ja.mo」だけを置く。
6. 設定画面でロック回数・時間などを変更し「設定を変更」をクリック。
設定は、初期設定のままでも良いと思います。ご自身で判断されて、回数や時間を変えてみてください。
ちなみに、私は初期設定よりも辛めにしましたw
以上で、完了です。
まとめ
WordPressの管理画面はわざと変更していない限りはドメイン以下のアドレスが同じなんですよね。
そうなると、攻撃もしやすいってもんです。
また、大半のユーザーが「admin」のまま利用しているようで、このあたりもハッキングされやすい状況であるのかなと思います。ちなみに、私もこの記事を書くまではadminでしたが…( ̄∇ ̄*)ゞ
攻撃を受け、ハッキングされてからでは遅いので、今のうちに強化しときましょう〜!