wordpressの超大事なセキュリティ対策! ちゃんとauthor.phpの対応やってますか?
wordpressって、けっこうセキュリティガバガバです。
だって、ログインページのURLはほとんど共通ですし、ログイン対策を何もしていない場合、adminとpassをひたすら連続入力していけば、勝手に入れちゃうかもしれないからです。
そして、さらに危険なことがもう一つ。これが本記事の本題ですが、adminとpasswordのうち、admin情報は対策をしていないと第三者がカンタンに読み取れちゃうんです。
目次
admin情報はカンタンにばれちゃう!
admin情報を知る方法とは・・・
まず、wordpressで作成されているサイトを探してみましょう。見つけ方はあえて省略しますが、wordpressを作ったことがある人なら、すぐに分かるかと思います。
そしてサイトを見つけたら、下記のURLを打ち込みます。
http://サイトURL/?author=1こうすると、
http://サイトURL/author/****/っていう感じに、なんとadmin名がすぐにURLに表示されてしまうんです・・・。
これはつまり、攻撃者は残りのpassさえわかってしまえば、カンタンに管理画面に侵入できてしまう、ということなんですね。
対策はリダイレクト
対策はとくに難しくなく、上記URLのリダイレクトをかけてしまえばOKです。
リダイレクトは.htaccessで設定しても良いですし、wp自体の機能でやるなら、themeディレクトリ階層下に、author.phpというファイルを作成し、
<?php
wp_redirect(home_url());
exit();
?>と記述すればOKです。(こちらのサイト様より参照。)
他にもセキュリティ対策はやっておこう
レンタルサーバー自体の機能で、BASIC認証やログイン施工回数の上限やIP制限などをログイン画面に設定することはとても大事なことです。
また、プラグインなどを利用して、画像認証、その他色々なセキュリティを課すこともできます。とにかく、ログイン画面とadmin情報をそのままにしておくことは極力やめておいたほうが良いです!
まとめ
wordpressでブログをやっている人の多くが、上記対策をやっていないと思います。ぜひ、早めに対策することを強くオススメします。