予防
最後の見出しは、若干嘘っぽいかもしれない。このセクションの前までは完璧であった。画像を見る
100%安全を保障することは出来ない。そんなものは存在しない。だからと言って諦めるべきではない。安全対策を無視するのは、自ら災難を招いているようなものだ。しかし、セキュリティばかりを気にしていても、時間の無駄遣いにしからならない。そこで、バランスの取れたアプローチを採用する必要がある。
先程、Login Lockdownプラグインに触れた。このプラグインを使っても、今回の攻撃からはサイトを守ることは出来ないが、それでも、利用を検討してもらいたい。ワードプレスが、ビルトインで総当たり攻撃対策を講じるまでは(お願いしますよ、開発者の皆さん)、このタイプのプラグインの利用を私は薦める。
ジェームズ・マクワーター氏が、Login Lockdownに「Lockout Invalid Usernames?」(無効なユーザー名を追放しますか?)の選択肢が用意されている点をコメント欄で指摘してくれた。このオプションを有効にすると、このプラグインは無効なユーザー名を用いたログインの試みを自動的にブロックする。 これは、今回の攻撃からサイトを守る上で役に立つかもしれない。
コメントおよびツイートで、Loguin Lokckdownプラグインがリリースされた時期を尋ねる人達がいた。私はこのプラグインを何年も前から利用しているが、マルチサイトのインストールを含む、現バージョンのワードプレスと問題なく連動する。その他の同様のプラグインを試すことも可能であり、また、確かにリリース時期は不明だが、Login Lockdownを私は個人的にお薦めする。
やはり、解決策で提供した推奨事項に是非従ってもらいたい。今回の攻撃だけでなく今後の攻撃からもサイトを守る上で効果があるはずだ。
また、プラグインおよびテーマを含む、ワードプレスのサイトを常に最新の状態に保つべきである。古いバージョンのセキュリティホールは、時間の経過とともに見つかる傾向があるため、この取り組みは絶対にさぼらないでもらいたい。
多数のワードプレスサイトを運営し、管理するのが難しくなりつつあるなら、マルチサイトを使って、サイトの大半を1つにまとめる方法を検討しよう。 こうすることで、ワードプレス、テーマ、そして、プラグインのアップデートが容易になる。ManageWPを使って、中央から複数のサイトを管理する手もある。
ワードプレスにログインするためのパスワードは重要だが、ホスティングのアカウントにアクセスするためのパスワードも同じぐらい重要である。FTPやcPanelで容易に推測することが可能なパスワードを利用しているなら、危険である。また、ワードプレスはeメールを使ってパスワードを再設定することも出来るため、eメールのアカウントが脆弱なら、サイトも脆弱である。サイトのパスワードを改善したなら、ホスティングのアカウントおよびeメールで使っているパスワードも改善しよう。
利用していないプラグインやテーマに関するセキュリティの問題は、あまり重要視されていないが、無効にされているプラグインやテーマもまたサイトをハッキングするために用いられる可能性がある。1年半前のTimthumbのエクスプロイトは、無効のプラグインやテーマでも行われていた。従って、無効にしたプラグインやテーマをそのままにしておくのではなく、別の場所にバックアップを作成し、削除しておくことを薦める。
結論
この記事が皆さんの役に立つことを願っている。既に様々な情報が提供されているため、この記事を投稿するべきかどうか私は大いに悩んだ。この類の記事を今後も読みたい方は、記事のどの部分が最も重宝したのかコメント欄で教えて頂きたい。
この記事は、ithemesに掲載された「Ongoing WordPress Security Attacks, The Details and Solutions」を翻訳した内容です。
私の英語圏でWPブログを相当数運営しているのですが(スパムサイトじゃありません!)、常日頃からアタックを受けやすいWPサイトではありますが、今回は半端なかったですし、諸々の対策に相当の時間を取られました。日本ではそこまでの被害を受けているサイトは少ないようですが、逆に行うべきアップデート・対策を取っていないWPベースのサイトも多いと思います。狙われてからでは遅いのも現実ですし、この記事を読んで必要な対策を取っておくことを是非おススメします!って、SEO JapanもWPベースなので早速チェックしたいと思います。。。
— SEO Japan
