皆さんこんにちはカズです。今回はワードプレスのセキュリティアップに繋がる、ログイン画面のURL変更方法をご紹介したいと思います。
特に初心者必須!!あ!あと現在すでに管理ページアドレスを偽装してる人も必見!!
ハッカーに攻撃されてからでは遅いです。まずは自分の身は自分で守る精神で大事なワードプレスを守りましょう。
ワードプレスのハッキングにあった僕が分かりやすく解説するよ
そもそもハッカーって何者?
そもそもハッカーて何者??皆さんよくハッカーって言葉を耳にすると思います。
しかし大まかに理解はしてるものの具体的な分類等はわからないとおもいます。
ここではハッカーについて掘り下げたいと思います。
ハッカーには大きく分けて3種類の人たちがいるよ!!
ブラックハットハッカー
これが皆さんが耳にするハッカーの正体です。
名前にブラックがついてる様に、悪さしかしません。
基本的に高度な技術を用いてコンピューターやネットワークシステムに侵入して個人情報を盗み出し、金銭の要求、企業や政府などへの攻撃等あげられます。
これを見ると何処か遠くで行われてる『川向こうの火事』で、自分には関係ないだろう・・と思う人が多数と思いますが、ワードプレスを使ってる以上ここから目を離すわけにはいかないのです!!のちのち説明しますね。
ホワイトハットハッカー
名前の中にホワイトと入ってますね、そうですいいことをするハッカーさんです。
まー俗に言うブラックハットが悪ならば、ホワイトハッカーは正義の見方という位置づけですかね(笑)
この方達はセキュリティの専門家であり、システムの脆弱性を特定して企業や組織、またはネットワークシステムを守る人たちですね。
グレイハットハッカー
ブラックハットとホワイトハットの中間に位置する人達ですね。
勿論高度な技術をもってるのですが、ブラックハットのように金銭の要求・個人情報を抜き取る等、甚大な被害がでるような攻撃はせず、ただ単にシステム内に侵入したりして自分の技術を楽しんだりしてる人たちですね。
でも中間にいるくらいだから本気を出せばブラックにもなれるしホワイトにもなれるわけです。
何故ワードプレスが狙われる??その理由
実は皆さんが使ってるワードプレスって、すごくハッカーの攻撃対象になりやすいプログラムなのです。
上級者の方なら問題ないでしょうが、アフィリエイトブログ等で、ワードプレスを始めた初心者の方は特に注意が必要です。
何故かと言うとセキュリティに対して不安感が無いからです。ではワードプレスが何故狙われるのかを解説していきますね。
人気が高いからこそ危険
ワードプレスは皆さんも使われてるように、世界で最も使用されているコンテンツマネージメントシステム(CMS)です。
そしてさらにオープンソースのプログラムだからです。
オープンソースとはワードプレス自体のプログラムソースが世界に公開されているということです。
簡単に言えば、皆さんの室内の大まかな構造が公に公開されてるようなものです。
なのでハッカーに取ってはすごく魅力のある市場?であり、ターゲットになるわけです。
プラグインやテーマの更新をしてないサイトが多い。
先にお話ししたように、ワードプレスの市場は世界的に見ても広い市場です。
勿論我々のようなプログラムに強くない人が殆どで、ブログを公開したら、プラグインやワードプレス自体及びテーマの更新等をしてないブログやサイトが沢山存在します。
そういう脆弱性をハッカーたちは見逃しません。
そう!まさに皆さんがターゲットなわけです。
簡単なパスワード等を設定している
ワードプレスのパスワードを簡単な物にしてる人はいませんか?誕生日等もってのほかです。
まず簡単なパスワードにしてる人は、強固なパスワードに変更して下さい、これは今すぐです!!
実際にワードプレス初心者の方は、全く何もわからないから簡易的なパスワードを設定しがちです。
今ギクッっとされたあなた!!まずはこの記事を読んでる途中で構わないので、今すぐパスワードのアップデートを行って下さい。
パスワードの変更はワードプレス管理画面→ユーザー→自分のアイコンの下にある編集→新しいパスワードに変更
簡単なパスワードに設定してる人は今すぐ上記の設定をして堅固なパスワードに変更して下さい!!
ワードプレスが自己防衛が必要な理由
ハッカーに狙われてる話をしましたが、じゃーどうすればいいのか?はい、それは自己防衛しかありません。
これがレンタルブログ等であればレンタル会社に言って何かしら対処してもらえるでしょうが、ワードプレスはあくまでも自己責任です。
なのでしっかりと自己防衛が必要になるわけです。
世界規模で広がってるワードプレスの世界
ワードプレスは世界中で愛用されているために、その市場はすごいものです。
当然我々のようなプログラムに疎い人たちが沢山ブログやサイトを開設してるのです、当然利用者が多ければそれだけ脆弱性を狙ったハッカーたちの標的になるわけです。
その結果どこか人事だった自分のブログがその被害に合う可能性も高いというわけです。
セキュリティの脆弱性
ワードプレス本体やプラグイン及びテーマ等、定期的にアップデートされるのですが、アップデートしてないブログやサイトが沢山あります。
すべての管理運営者が上記アプデにすぐ反応する人は少ないからです。
その様なワードプレスの脆弱性をハッカーたちは見逃しません。
素人ユーザーが多いからセキュリティがあまい
ワードプレスは素人管理者が多いので、やれるセキュリティ対策を怠ってるブログ・サイトが多数存在します。
もうハッカーたちにしてみたらボーナスブログ・サイトというわけです。
自動化された攻撃ツール
ハッカーに狙われやすいといういことは、それだけハッキングツールもあるということです。
ブルートフォース攻撃(手当たり次第パスワードアタックする方法)やマルウェア感染(ワードプレスに侵入されて悪意あるプログラムを設置されることです。)等多数の攻撃ツールがあります。
ハッキングされた私の体験談
ここでは実際にハッキング被害にあった、僕のショボボンな体験談をお話するよ😢
それはある日突然やってきた。管理していたワードプレスにアクセスすると、なにやら怪しげなサイトに飛ばされた。
最初何が起こったのかわからず、再度更新してみたら通常通りページが開いた。
なにか操作ミス??と思い、さほど疑いもせずにその日は終わった。
それから数日後、ワードプレスにアクセスしたら、また変なページに飛ばされる。
その時思った『これはまさか・・』そうマルウェア感染してたのである。
今でも覚えてますが、変なページとは『おめでとうございます ・・・』と、この様な画面が出てきました。
色々調べたらフェイクアラートという詐欺サイトのポップアップウィンドウでした。
慌てた私は色々調べてみた結果、ワードプレス内のあるファイルに見たこと無いような記号が羅列されてる行を発見しました。
なので一度バックアップを取ってその部分を削除してみたら、ワードプレスは普通にもどりました。
ほっと一安心・・。が悪夢はそれで終わりではありませんでした。
また数日してアクセスしたらまたポップアップが表示される。
慌てて前回修正した部分をみたら、また記号の羅列が・・。
これはバックドアというプログラムを仕掛けられて、第三者がいつでも僕のサーバーに侵入して書き換えることが出来るようでした。
結果莫大な量のワードプレスファイルのどれかの中に悪意あるソースコードが仕込まれてて、それを見つけることは僕程度では不可能なのでした、そう僕はハッカーに敗れたのです。
その後はブログどうなったの??
ログイン画面を変更する
ということで、私はハッカーにログインを許してしまい、結果ワードプレスを手放すことになったので、そこからは管理画面強化に乗り出しました。
僕はHTMLとCSSのコーディングはできますが、PHPになると全然なので今回もプラグインに頼ることにしました。
そのプラグイン名は『SiteGuard WP Plugin』というプラグインです。このプラグインは管理ページ入口のURLを変えてくれます。
管理ページURLをすでに偽装してる人もここを見て
僕がハッキング受けたときの管理ページのURLは何も設定してなかったので『wp-login.php』のままでした。
なのでハッカーたちに攻撃を食らったわけです。
あと多いのがhttp://ホスト名/wp-adminで一度アクセスしてみることをオススメします、案外偽装しててもそのURLいれると管理画面入口に飛ぶケースが多々あります。
ちなみに『wp-login.php』を偽装してても『/wp-admin』でアクセスしてみてください。アクセス出来るようなら何も偽装の意味がありません。しっかりと偽装しましょう。
一度、http://ホスト名/wp-adminでご自身のブログにアクセスしてみて、結構ログインページ開ける人多いはずでですよ。
プラグインのインストール
まずはいつものように、『SiteGuard WP Plugin』をインストールします。
ダッシュボード→新規プラグイン追加→SiteGuard WP Plugin→インストール→有効
プラグインの設定
次に管理ページ左メニュー『SiteGuard』の『ログインページ変更』で新しく設置された『変更後のグインページ名』を管理ページとしてブックマーク。
その下にあるオプションのチェックを入れます。
このチェックを入れると『/wp-admin』でアクセスしてもトップページへ、リダイレクトされるようになってるはずです。
僕の設定は以下のようになってます。
下は現在の僕のログイン画面です。もちろんURLも偽装済みです!!
まとめ
いかがだったでしょうか?僕のハッキングされたトホホ話も含めて少しでも参考になれば嬉しいです。
ワードプレスのハッキング対策は他にも沢山ありますが、とりあえず僕の場合は不正にログインされてマルウェア感染させられたので、今回はとにかくログイン画面の隠蔽を重点的にやりました。
勿論これでもまだまだセキュリティ対策は完璧ではないのでしょうね。またなにかセキュリティ対策を見つけたらご報告したいとおもいます。
ここまで読んで頂きありがとうございました。