【セキュリティ】wordpressのセキュリティの10のルール

in 2020年10月29日

世界のサイトの4割はwordrpessだ。

なんていう情報があります。

実際、ほとんどのサイトはwordrpessで出来ているのは、web屋さんなら実感していると思います。

でも、ほとんどのサイトがwordpressで出来ているなら、wordpressを狙ったウイルスを作るのがハッカー目線では考えられます。

ですので、wordpressのサイトを作る際に気を付けるべきルールを書いてみます。

 

 

 

ルール1、ディレクトリ名にwpを使わない

wordrpessを入れるディレクトリはわかりやすくwpにする。

これはもうweb業界の常識ではないでしょうか。

もちろん日本にかぎらず世界中のweb業者がwordpressは

/wp/

としていると思います。

これ危険です!

ネット上を自動巡回しているwordpress用のウイルスは、サイトを見つけるととりあえず

/wp/wp-login.php

にアクセスして入り口があるか確認します。

そしてここに入り口があれば攻撃開始です。

よくあるのは

https://sample.com/

↑サイトのドメイン

https://sample.com/wp/

↑wordpressの管理画面のドメイン

これ一番多いのではないでしょうか?

もちろんそんな事はハッカーもわかっています。

なのでとりあえず

/wp/

を狙って攻撃をしてみる。

敵が攻撃してくるとわかっている場所にわざわざ置くのは馬鹿げていますね。

サイトドメインは

https://sample.com/

でもちろんいいですが

管理画面のドメインは

https://sample.com/wakarinikui/

↑こんな感じにしていいかもしれません。

当然ですが

https://sample.com/wordpress/

なんかはダメですよ!!

 

 

ルール2、管理人のidにadminは使わない

敵はwordpressのログインのアドレスがわかったら、次にidとパスワードを予想をして攻撃してきます。

wordpressの自動インストールをすると管理人の名前が

admin

となっている事が多いです。

これ危険です!

攻撃者はidを予測して入力して、総当たり攻撃をしてきます。

admin

なんてid使うのは、どうぞ入って下さい、といって扉の鍵をかけないのと同じ。

他にも、webの業者さんが

developer

web_admin

なんてidで管理人作って作業しているのは、何度も見た事があります。

危険ですよ!?

セキュリティ意識がほとんどないweb業者は本当に多い。

そして顧客のサイトが書き換えられたりして迷惑をかける。

wordrpessは管理人として侵入されたら色んな事が出来てしまいます。

よくあるのは、スパム用のプラグインをインストール、してそのプラグインからやりたい放題。

下手すると、同じサーバー内の全ファイルが汚染されたりして、目も当てられない状況になります。

絶対に英単語の名前は付けない事!

ウイルスのほとんどは外国製なので、逆に日本語をアルファベットにすると予測はもう無理でしょう。

例えば

suzuki_yosiko

とか

tanaka_hazime

とか。

とりあえず、管理人のIDは14文字以上の予想されにくい名前を付けて下さい。

admin

なんて見たら卒倒します。