先日、アクセスのログ取りをしてほしいという依頼があり、クライアントのサイトはWPで構築しているため、プラグインをインストールして確認してみることにしました。
特に更新することはないというクライアントのサイトですが、やはりせっかくお金出して作ったサイトなだけに乗っ取られるのは嫌だということなのだそう。
インストールしたのはSiteGuardというプラグイン。
ログインURLを偽装したり、IP制限によりログインを不許可するなど対策ができるありがたいプラグインです。
ただ、動的IPのインターネット契約なため、制限は無しにして、ログ取りのためにURLもそのままでログを取っていきました。
2週間ほど経ちログインして履歴を確認すると、1万以上の不正アクセスが確認できました。すべて失敗しているのでこのサイトの管理画面には入れてないことは確認できたのはちょっと安心しました。しかし、ログイン画面までは簡単に見れている状態は怖いものです。
そういうことで、初期の対策としてログイン画面のURLを偽装するという設定を行いました。
不正アクセスで多く試みたログイン名は以下のような文字列でした。
「Admin」「admin」「ドメイン一部_admin」「test」「testuser」「username」
これらは恐らくWPインストールする際の仮IDとして設定し、そのまま利用しているのではという想定で試していることが多いのではないかと思われます。
もしIDが当たってしまうとエラー表示が変化し、それで入力したIDは正解と分かってしまうため、ログインパスワードばかり変更するのは危険かもしれません。
WPは一度設定したユーザー名は変更できないため、最初に作成するときに難しいものを設定することが良さそうです。
そして複雑な記号混じりのパスワードを設定しておくことでセキュリティ強化につながります。
放っておくと、いざ久しぶりにログインしようとすると上手くいかず、IDやパスワードを忘れていたと思っていたらすでに不正アクセスされIDとパスワードを変更されていたということになっているかもしれません。
パスワードは定期的に変更し、さらに強化したい場合はセキュリティ強化プラグインを導入してログイン画面のURL変更などして、自分のサイトを守りましょう。