記事

【WordPress全ユーザー必読】最近のWPサイトに対する猛アタックの詳細と対策

6/6

予防

最後の見出しは、若干嘘っぽいかもしれない。このセクションの前までは完璧であった。画像を見る

100%安全を保障することは出来ない。そんなものは存在しない。だからと言って諦めるべきではない。安全対策を無視するのは、自ら災難を招いているようなものだ。しかし、セキュリティばかりを気にしていても、時間の無駄遣いにしからならない。そこで、バランスの取れたアプローチを採用する必要がある。

先程、Login Lockdownプラグインに触れた。このプラグインを使っても、今回の攻撃からはサイトを守ることは出来ないが、それでも、利用を検討してもらいたい。ワードプレスが、ビルトインで総当たり攻撃対策を講じるまでは(お願いしますよ、開発者の皆さん)、このタイプのプラグインの利用を私は薦める。

ジェームズ・マクワーター氏が、Login Lockdownに「Lockout Invalid Usernames?」(無効なユーザー名を追放しますか?)の選択肢が用意されている点をコメント欄で指摘してくれた。このオプションを有効にすると、このプラグインは無効なユーザー名を用いたログインの試みを自動的にブロックする。 これは、今回の攻撃からサイトを守る上で役に立つかもしれない。

コメントおよびツイートで、Loguin Lokckdownプラグインがリリースされた時期を尋ねる人達がいた。私はこのプラグインを何年も前から利用しているが、マルチサイトのインストールを含む、現バージョンのワードプレスと問題なく連動する。その他の同様のプラグインを試すことも可能であり、また、確かにリリース時期は不明だが、Login Lockdownを私は個人的にお薦めする。

やはり、解決策で提供した推奨事項に是非従ってもらいたい。今回の攻撃だけでなく今後の攻撃からもサイトを守る上で効果があるはずだ。

また、プラグインおよびテーマを含む、ワードプレスのサイトを常に最新の状態に保つべきである。古いバージョンのセキュリティホールは、時間の経過とともに見つかる傾向があるため、この取り組みは絶対にさぼらないでもらいたい。

多数のワードプレスサイトを運営し、管理するのが難しくなりつつあるなら、マルチサイトを使って、サイトの大半を1つにまとめる方法を検討しよう。 こうすることで、ワードプレス、テーマ、そして、プラグインのアップデートが容易になる。ManageWPを使って、中央から複数のサイトを管理する手もある。

ワードプレスにログインするためのパスワードは重要だが、ホスティングのアカウントにアクセスするためのパスワードも同じぐらい重要である。FTPやcPanelで容易に推測することが可能なパスワードを利用しているなら、危険である。また、ワードプレスはeメールを使ってパスワードを再設定することも出来るため、eメールのアカウントが脆弱なら、サイトも脆弱である。サイトのパスワードを改善したなら、ホスティングのアカウントおよびeメールで使っているパスワードも改善しよう。

利用していないプラグインやテーマに関するセキュリティの問題は、あまり重要視されていないが、無効にされているプラグインやテーマもまたサイトをハッキングするために用いられる可能性がある。1年半前のTimthumbのエクスプロイトは、無効のプラグインやテーマでも行われていた。従って、無効にしたプラグインやテーマをそのままにしておくのではなく、別の場所にバックアップを作成し、削除しておくことを薦める。

結論

この記事が皆さんの役に立つことを願っている。既に様々な情報が提供されているため、この記事を投稿するべきかどうか私は大いに悩んだ。この類の記事を今後も読みたい方は、記事のどの部分が最も重宝したのかコメント欄で教えて頂きたい。

この記事は、ithemesに掲載された「Ongoing WordPress Security Attacks, The Details and Solutions」を翻訳した内容です。

私の英語圏でWPブログを相当数運営しているのですが(スパムサイトじゃありません!)、常日頃からアタックを受けやすいWPサイトではありますが、今回は半端なかったですし、諸々の対策に相当の時間を取られました。日本ではそこまでの被害を受けているサイトは少ないようですが、逆に行うべきアップデート・対策を取っていないWPベースのサイトも多いと思います。狙われてからでは遅いのも現実ですし、この記事を読んで必要な対策を取っておくことを是非おススメします!って、SEO JapanもWPベースなので早速チェックしたいと思います。。。
— SEO Japan

あわせて読みたい

「セキュリティ」の記事一覧へ

トピックス

  1. 一覧を見る

ランキング

  1. 1

    BLOGOSサービス終了のお知らせ

    BLOGOS編集部

    03月31日 16:00

  2. 2

    なぜ日本からは韓国の姿が理解しにくいのか 識者が語る日韓関係の行方

    島村優

    03月31日 15:41

  3. 3

    「いまの正義」だけが語られるネット社会とウェブ言論の未来

    御田寺圭

    03月31日 10:09

  4. 4

    カーオーディオの文化史 〜ドライブミュージックを支えた、技術の結晶たち〜

    速水健朗

    03月30日 16:30

  5. 5

    BLOGOS執筆を通じて垣間見たリーマンショック後10年の企業経営

    大関暁夫

    03月31日 08:27

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。