WordPressって便利ですけどメジャーな分やはり狙われるケースは多いです。最低限管理画面にBasic認証を入れるくらいはやっときましょう。
WordPressの管理画面にBasic認証を導入
WordPressはブログ構築のみならず、LP制作や一般的なサイト制作にも使われる超メジャーなCMS(Contents Management System)。
「こんなサイトがWordpressで作られてるの?」と思えるようなメガサイトでも利用されていたりします。
その分、サイトを乗っ取ろうという悪意あるクラッカーなどからは狙いやすいのは事実。無料でダウンロードして中を解析したり、実際にテスト環境を立ち上げてそこで乗っ取りのテストもいくらでもできちゃう。
こんな弱小サイトでも管理画面で見るとブロックされた悪意あるログインが5桁回数試行されていたりします。
スパムコメントが2桁しかない(泣)のに、悪意のあるログインが16,000回を超えてる・・・乗っ取る側は自動であちこちのWordpressサイトを狙うので、別にそれがメガサイトだろうが弱小サイトだろうがどうでもいいのです。
とりあえず侵入して自由にできるサーバーが手に入れば、それを踏み台にまた新しい獲物を探せるし、そうやって沢山のサーバーを乗っ取れれば一斉に特定サイトを攻撃したりできます。
WordPressの弱点の1つ、管理画面
WordPressのセキュリティについては、まずとにかくWordpressを最新バージョンにアップデートすること。これが鉄則です。
ですがそれだけではサーバーは乗っ取られなくても、ブログそのものはリスクがあります。Wordpressの管理画面は一律/wp-admin/というディレクトリにあるため、管理画面のログインは誰でも見ることができます。
この管理画面を制限してしまうのが重要なのですが、制限しすぎて自分が入れなくなっても厳しい・・・w
ということで、前時代的ながらBasic認証でとりあえず管理画面のログインを2重にしてしまう、というのも1つの方法です。
Basic認証の導入についてはこちらを。
いまさらながら、Basic認証のつけかた – Qiita
Apache系のサーバーならこれでいけるかと。wp-adminディレクトに入れて動けばOK。FTPでアップロードしている人は、念のため管理画面ログインが確認できるまで接続は切らないほうがいいかと思います。
Nginxだと実はもっと楽で、
location /wp-admin/ { auth_basic "Restricted"; auth_basic_user_file htpasswd_path; }
これで完了でした。
とりあえずこれをやっておくことでちょっとだけセキュリティリスクが軽減されます。