wordpressでブログやってる人。ちゃんとauthor.phpのセキュリティ対策やってます?

ブログ・アフィリ

wordpressって、けっこうセキュリティガバガバです。

だって、ログインページのURLはほとんど共通ですし、ログイン対策を何もしていない場合、adminとpassをひたすら連続入力していけば、勝手に入れちゃうかもしれないからです。

そして、さらに危険なことがもう一つ。これが本記事の本題ですが、adminとpasswordのうち、admin情報は対策をしていないと第三者がカンタンに読み取れちゃうんです。

admin情報はカンタンにばれちゃう!

admin情報を知る方法とは・・・

まず、wordpressで作成されているサイトを探してみましょう。見つけ方はあえて省略しますが、wordpressを作ったことがある人なら、すぐに分かるかと思います。

そしてサイトを見つけたら、下記のURLを打ち込みます。



http://サイトURL/?author=1

こうすると、



http://サイトURL/author/****/

っていう感じに、なんとadmin名がすぐにURLに表示されてしまうんです・・・。

これはつまり、攻撃者は残りのpassさえわかってしまえば、カンタンに管理画面に侵入できてしまう、ということなんですね。

対策はリダイレクト

対策はとくに難しくなく、上記URLのリダイレクトをかけてしまえばOKです。

リダイレクトは.htaccessで設定しても良いですし、wp自体の機能でやるなら、themeディレクトリ階層下に、author.phpというファイルを作成し、



<?php
  wp_redirect(home_url());
  exit();
?>

と記述すればOKです。(こちらのサイト様より参照。)

他にもセキュリティ対策はやっておこう

レンタルサーバー自体の機能で、BASIC認証やログイン施工回数の上限やIP制限などをログイン画面に設定することはとても大事なことです。

また、プラグインなどを利用して、画像認証、その他色々なセキュリティを課すこともできます。とにかく、ログイン画面とadmin情報をそのままにしておくことは極力やめておいたほうが良いです!

まとめ

wordpressでブログをやっている人の多くが、上記対策をやっていないと思います。ぜひ、早めに対策することを強くオススメします。

最後に一言

じつはブログに限らず、企業サイトでも、カンタンにadmin分かっちゃうところが少なくありません……。(このへんは制作会社の罪でもありますね。。。)

この記事が参考になったら「いいね!」

wordpress

wordpressでブログやってる人。ちゃんとauthor.phpのセキュリティ対策やってます?


SNSのシェアはこちらから!

  • 1
    このエントリーをはてなブックマークに追加
  • Pocket

PROFILE

yoshi

運営者のYoshiと申します。今はフリーランスでWEB制作などしています。趣味と勉強がてら、ブログ・アフィリエイトをしています。気づけば日々のサーバー代くらいは余裕で支払えるくらいのお小遣いになっていました。