WordPressへの大規模攻撃への対策

By: Heisenberg Media

WordPressのadminユーザに対し、パスワード辞書を使用した
無差別の大規模攻撃が展開されているようです。

防ぐ方法としては、まず今回狙われている管理者権限のユーザ名で
デフォルトとなっているadminを削除する（使わない）こと。

また、WordPressのプラグインで、一定回数以上、
同一ドメインからの誤ったパスワード入力があった場合、
アクセス制限をかけるというものがあるので、
これを導入するのも有効です。
（先日ご紹介した『プロが選ぶWORDPRESS優良プラグイン辞典』にも
セキュリティを高めるプラグインが紹介されています）

adminユーザを削除するのはいいのですが、
そのまま何も考えず削除してしまうと、
adminで作成した記事も消えてしまうので要注意です。

以下に覚書をまとめていますが、実行前には
バックアップをとり、参考にされる際は、あくまでも
自己責任でお願いします。

(1) 管理者権限を持ったユーザーを作成　

(2) adminユーザーをログアウト

(3) 作成した新しいユーザーでログイン

(4) adminを削除する
この時、「すべての投稿を以下のユーザーにアサイン」で、
新しく追加したユーザーを選択するのを、くれぐれも忘れないこと。

＜参考サイト＞
「全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている」
http://jp.techcrunch.com/2013/04/13/20130412hackers-point-large-botnet-at-wordpress-sites-to-steal-admin-passwords-and-gain-server-access/

「乗っ取られる前にセキュリティ強化。WordPressのadminユーザーを変更（削除）する方法」
http://ushigyu.net/2013/04/13/wordpress-admin-change/