hero_picture

アカウントadminへの不正ログイン攻撃

2013/05/21

最近、WordPressの不正ログイン被害が多く発生しているそうです。

WordPressは何も考えずインストールすると、管理ユーザー名は「admin」となってしまいます。

今回の不正ログインでは管理ユーザー名の「admin」に対して、さまざまなパスワードにて

ログインを試みる、いわゆるブルートフォースアタックと呼ばれるものです。

簡単なパスワードにしていると高確率でログインされてしまい「フィッシングサイト」に利用されたり「情報漏えい」したりとんでもないことになってしまいます。

そんな事になる前に対策を行っておきましょう

管理画面へのログインをIP制限

・特定のIPアドレスからしか編集を行わない

・サーバーが.htaccessを使用できる

上記の場合はそもそも管理画面にログインできるIPを制限してしまったら安心です。

.htaccess

[code]

<Files “wp-login.php“>

order deny,allow

deny from all

allow from xxx.xxx.xxx.xxx

</Files>

[/code]

上記のように記述した.htaccessをwp-login.phpと同階層に置けば特定のIP以外からのログイン画面への接続を制限する事が出来ます。

インストール時に作るIDをadminではなく別のものに

最新のwordpressではインストール時に作成するIDを任意に決定できます。

こちらでadmin以外のユーザー名を指定して下さい。

すでにインストールされたWordPressのIDを変更する

すでにadminユーザーとしてインストールされたWordPressの場合はすこし手間がかかります。

手順としては以下の通り

1.adminユーザーで別のIDの管理ユーザーを作成

ユーザー > 新規作成 で新規のユーザーを作成します。

権限を管理者にするのを忘れずに

2.adminユーザーをログアウトして新規のユーザーでログインします

するとadminユーザーが削除できるようになってますので削除。

マルチサイトWordPressのIDを変更する

すでにadminユーザーとしてインストールされたマルチサイト用のWordPressの場合はさらに手間がかかります。

手順としては以下の通り

1.サイトネットワークの新規ユーザー作成

参加サイト > サイトネットワーク管理者 > ユーザー > 新規追加 にて新規ユーザーを追加します。

2.作った新規ユーザーに「特権管理者権限」を与える

参加サイト > サイトネットワーク管理者 > ユーザー > 一覧 にて作成した新規ユーザを編集し、

「このユーザーにネットワーク特権管理者権限を与える」にチェックを入れて更新します。

3.各サイトにサイトネットワーク管理者のユーザーを追加する

各サイトのユーザー > 新規作成 で新規のユーザーを作成します。

マルチサイトの場合は既存のユーザーをメールアドレスから追加します。

この作業を全サイトぶん繰り返します。

4.adminユーザーの権限を削除する

adminユーザーをログアウトし、新規作成したユーザーでログインします。

新規作成したユーザーでadminユーザーの権限を削除します。

各サイトのユーザー > adminユーザーの編集を行い、権限を「このサイトでの権限なし」に変更します。

この作業を全サイトぶん繰り返します。

この作業が完了するとネットワーク管理者一覧でのadminユーザーの「サイト」に何も表示がなくなります。

この状態を確認したらadminユーザーの管理者権限をはずし

後はサイトネットワーク管理者からadminを削除して完了です。