WordPressのなんたるかも知らない状態から一生懸命形にした創作小説サイトを公開して約10日後。
さっそくWordPressの管理画面から不正ログインされそうになりました!
月海こういう時だけ早く見つかるの、マジなんなの?
使用者が世界でたくさんいる分、不正な攻撃やログインを受けやすいとはどこの解説にも書いてあったけど本当に無作為なんですね。
運営年月とか関係なく、やはりセキュリティは最大限設定しておかないと!
きっかけは、作った記憶のないページ
創作小説メインとはいえ、どのページが人気なのか今後把握したいなと思ったので、事前にGoogleアナリティクスを導入していました。
WordPressのダッシュボードには「Site Kit」という名称で表示されます。
メニューから選択しなくても、WordPressにログインすれば画面にアクセス数や、読まれてる記事ランキングなどが表示されるようデフォルト設定されています。
でも初期設定だと自分のアクセスもカウントされてしまうため、その時点ではすでに自分のアクセスはカウントされないよう設定を施していました。
月海開設したばかりでまだ誰も来ないから、いつ見てもアクセス数やページランキングもいつも一緒でしたよ。
そんな中、何気なくダッシュボードをスクロールしていると、読まれている記事ベスト5のランキングが目に留まりました。
自分のカウントを制限する前のアクセスランキングの中に、妙に目立つページがぴょこっと顔を出したのです。
そのアクセス数は「1」
ページのタイトルは、私が作成した記憶のないものでした。そのページを見てみても、私の名前が表示されるだけの簡素なページ。
月海こんなん作ったかな?
なんで急に表示された?
その時はただ首を傾げるのみでした。
深夜にうごめく自分のアカウント
「WordPress」というワードをタイトルに組み込んだ記事を公開しただけで、「Wordfence Security」の画面にはドイツと香港からの不正アクセス攻撃をブロックしたという表示がされるようになりました。
月海うわー、ホントに来た!
こわー!
適度に怯えながら能天気に作業を続けていると、深夜、「Wordfence Security」がブロックした国名とIPアドレスの一覧の下、「失敗したログイン」の一覧に私のアカウントが表示されていました。
月海私、今ログインしてるし、そもそもログインの失敗なんてしてないぞ?
何だろう? と思って見ていると、その間にも失敗したログインの回数が増えていくではないですか!
これには恐怖と混乱で完全に目が覚めました。
どっかの誰かが私のアカウント名でログインできるか試してる?
怖すぎます!
月海なんでなんで、どうして?
アカウント名がバレた?
WordPressの管理画面て、アカウントかメールアドレスでログインしますよね。
アカウント名は普通隠れていて分からないですよね。
でもアカウント名が簡単に分かってしまう検索方法がWordPressにはあるようで、それを隠すための設定をセキュリティプラグインの「Wordfence Security」でやったはずなのです。
月海超初心者でも設定はきちんとやったはずだよ!
それでも、もしかしたらどこかに別の穴があったのかもしれません。
Site Kitのランキングの、私の名前が表示されるだけの簡素なページは、今現在行われている不正アクセスへの痕跡だったのではないか? と。
そういえば、セキュリティプラグインをインストールする際に、その必要性が分からずスルーしたプラグイン「Site Guard WP Plugin」
あれ、WordPressのログイン画面のURLを初期設定の適当な数字5桁から、桁数も英数字も使える別のURLに変更できるって書いてあったな……。
わざわざ変更を推奨するってことは、それだけ初めに割り当てられるログインページはセキュリティに不安があるということなのです。
管理画面に無作為にアクセスし、その管理者のアカウント名を把握できれば、後はパスワードでゴリ押しするだけなのだから。
月海アカウント名が分かってて、さらに簡単なパスワード使ってたらあっという間に破られるよね
どうしていいのか分からずオロオロしている間にも、私のアカウントによるログイン失敗回数は増えていきました。
おそらくパスワードで引っ掛かって失敗してるのでしょう。
「Wordfence Security」でそのうちログイン規制が掛かるよう設定しているとはいえ、万が一それまでに破られてしまったら……という考えが頭を過ります。
月海パスワードも簡単なのは危ないよ!
▼Site Guard Wp Pluginの導入を見送った経緯▼
Site Guard WP Plugin で管理画面のURLを変更する
インストールだけはしておいたので、慌てて「Site Guard WP Plugin」を有効化し、WordPressの管理ログインページのURLを変更しました。
- ダッシュボードの「Site Guard」を選択
- 「ログインページ変更」を選択
- 「変更後のログインページ名」に好きな文字列を入力
- 変更したURLで表示されたログイン画面を保存する
これで管理ログイン画面のURLは変更されました!
きちんとログインできるか試してください。
月海それ以前のログイン画面は、変更から24時間経つと機能しなくなるようです
ここまでする頃には、私のアカウントによるログイン失敗回数は打ち止めとなりました。
管理画面のURLを変更してからは、第三者によるものと思われるログイン試行の兆候はありません。
しかしながら、WordPressのログイン管理画面のセキュリティもしっかりしておかなければ、すぐに乗っ取られてしまうかもしれないな、と思い知らされた出来事でした。
月海甘かったよ……
まとめ
第三者による攻撃や不正アクセスは誰にでも起こり得る、とても身近なリスクです。
WordPressでサイトやブログを始める前に、しっかりとセキュリティ対策はしておいた方が無難です。
月海アクセス数とか、運営年月とかは関係ないよ!
超初心者だし、誰も見に来ないし、のんびりやれば良いじゃん♪と油断しているとあっという間に餌食になります!
- セキュリティプラグインは必ずインストール、設定する
- WordPressのログイン管理画面URLは変更しておく
- パスワードは英数字や記号、大文字小文字を組み合わせて長めに設定
- 二段階認証も忘れずに
これだけでもリスクはかなり減らせると思うので、ぜひ設定をお願いします!
なお、私はすべてスマホで作業していますが、IPアドレスで制限を掛けるようなセキュリティ設定をオンにしてしまうと、スマホはIPアドレスが頻繁に変わるため自分ですらも不正なアクセスと見られてブロックされてしまいます。
月海うっかり設定したらログインできなくなっちゃったよ。
えらい目に遭ったよ。
ご自身の環境にあったセキュリティの項目をしっかり設定して、快適で楽しいWordpress生活をぜひ送ってくださいね。
月海またねー!
