昨日はワードプレスが乗っ取られて頭にくるぜクソが!的な内容だったんだけど、アレって誰にでも起こる可能性って実はあるんだよね。

そこで俺が乗っ取られてからどういったセキュリティ対策をしていたかを紹介しておこう。

とりあえず乗っ取られる原因は昨日書いた通りなんだけど、その対策について今回は書いていく事にするから。

ちなみに俺がやられたのはブルートフォースアタックって奴ね。説明するのが面倒だから自分で調べてね。

ログインIDがバレバレで豆腐並みのガードの固さな件

大抵の人は気づかずにやっている事なんだけど、ログインID=投稿者名になってるのね。

だからココを変えとかないと乗っ取りを企むボンクラ共の自動プログラムの餌食になってしまう。

その方法は、URLの後に「/?author=1」ってコードを貼りつけるだけで投稿者名がわかってしまうのよ。

で、ログインID=投稿者名だった場合、これで後はパスワードをブルートフォースアタックで割りだしたら侵入成功ってわけ。

だから実は投稿者名を変更してないと危険だって事は理解できたと思うんだけど、じゃあどうやって変更すんの?ってトコを解説するね。

ワードプレスにログインして、左にあるメニューバーの真ん中かす少し下くらいにある「ユーザー」ってとこをクリック。

そしたらユーザー一覧が出てくるんだけど、そこで自分のユーザー名の下にある「編集」をクリック。

そこで画面の真ん中あたりにある「ニックネーム」を変更する。これは英数字の適当な羅列でOK。俺はニックネームは全て羅列だから。

そして次に「ブログ上の表示名」をさっき決めたニックネームに変更する。これで設定終わり。

スパムコメントにURL貼ってんじゃねえカス野郎

で次に面倒なんが実はコメント欄なのよ。メニューバーの中にある「設定」の「ディスカッション」ってやつなんだけど設定でコメントできなくしてもテンプレとかでどうしてもコメント欄自体を消せない事ってあるのね。

そんでスパマーのボンクラ共はコメント欄にプログラムでURLを貼り付けまくるんだよ。

俺が一番やられたのは作って1週間のサイトに1200くらいコメントされた。しかも1記事にそれだけのコメント数。

正直言って、木刀で殴りたくなる程ウザい。というか俺の全力のパンチを顔面の中心に打ち込みたいくらいだ。

doka

そこでコメント欄自体を消してしまうプラグインをインストールすればいいというのを知り、早速設定。

そのプラグインの名前は「Disable Comments(ディセーブルコメンツ)」ね。

インストール後の設定は凄く簡単で、チェックボックスの「Everywhere」って部分にチェックを入れて設定するだけ。

これでうざいコメントスパムは防げるし、既に今まで入っているコメントも一気に消してくれるすぐれもの。

実際にコメント欄を利用してヤフー知恵袋みたいに自作自演でリンク貼ってくる連中がいるのよ。

そんな馬鹿どもはコメント機能を無くしてしまえば何もできなくなる。

不正侵入をポアするセキュリティプラグイン

ここまで投稿者名とコメントに対する対策をしてきたんだけど、これだけでは全く安心できん。

そもそも侵入されないようにするためのセキュリティを強化する必要があるんだよね。

そこで俺も必死になってワードプレスで使いやすいセキュリティのプラグインを1時間くらい探してたら見つかった。

それは「SiteGuard WP Plugin」ってやつで、日本の企業が作成したセキュリティ専用のプラグインだね。

インストールしてから色んな設定ができるんだけど、詳しく紹介しているサイトがあるから調べてね。俺が説明するの面倒なのよ。

こんな感じで設定できる項目があるから。

suwg

そこでログインの際に画像認証も設定できるようになるから、コレで海外からの不正侵入はかなり防げる。

ninshou

これだけあれば大抵のセキュリティ設定はできるから、何もしないよりは侵入されてサイトを改ざんされたりする可能性は大きく減らせる。

どうだい、これで自分のワードプレスの設定がどうなっているのか気になっただろ?

この対策は全て無料で出来るから、もしも中古ドメインでワードプレスを作成している場合は要注意だ。俺の場合は中古ドメインをたどられてから侵入されたからね。

海外のスパマーがこういった事をよくやってくるんだけど、国内にもそういった連中がいないわけでもないからね。

ブルートフォースアタックの解説をしているサイトまであるくらいだ。だからこそ自衛する手段を知っておかなければならない。

ただ、これだけの対策をやったら絶対侵入されないという確実な保証なんて無い。だけど何もやらないよりは遥かに自分のサイトを守る確率を上げられる。

特に中古ドメインのワードプレスなんてものすごく資産になるわけだから自分で守るための最低限の対策はやっておくべき。

とりあえず一昨日までに俺は600個のワードプレスに全てこの対策だけやってたのね。他の作業も少しやりながらだけど4日くらいかかった。

というわけでワードプレスを守る方法としてこれらの対策をやってみて。サーバー凍結とか改ざんされてからでは遅いから。

おすすめの記事