初期の”admin”ユーザー名でWordPress運営は危険！全世界のWordPressサイトに大規模攻撃

全世界のWordPressで運営しているサイトに大規模な攻撃をするハッカーがいる事について、現在問題となっています。情報源はこちらの記事です。ハッカーの最終的な目的としては、サーバー自体を乗っ取って、今後のさらに大規模な攻撃を仕掛けるためであると考えられています。それを防ぐためにも、WordPressユーザー1人1人が当記事を読んで、対策を行なってください。攻撃は特徴なく無差別に行われているので、誰もが攻撃を受ける可能性を秘めていますから。

やっておくべき対策の目次

この問題に対して、やっておくべき対策は次の5点です。

ユーザー名が初期設定のadminの場合は変更する
パスワードの強化
2段階認証を取り入れる←できればやっておくべき
WordPressのバージョンを最新版へ
無料配布テンプレートの利用は避ける

ユーザー名が初期設定のadminの場合の変更方法

ユーザー名の変更方法は管理画面のユーザー⇒ユーザー一覧よりadminユーザーを使っているのであれば、それを削除することを推奨します。

※注意もしadminユーザー名で既に投稿がある場合には、削除する際に別のユーザー名を作ってから、そちらに「すべての投稿を以下のユーザーにアサイン」を設定してから削除を行なってください。そうしないと、adminユーザーで投稿したすべての記事が削除されてしまいます。

パスワードの強化

ユーザー⇒ユーザー一覧⇒編集よりパスワードの変更を行なってください。

パスワードは強度インジケータが強となるように設定することを推奨します。

ちなみに、不正なログインが成功した例としては次のようなパスワードを付けていた場合とのこと。

IDとパスワードが同一、類似
他サイトやサービスと同一、類似
- （アフィリエイターなら無料オファーASPだったりに登録しているID、パスワードと同一、類似している場合など）
ドメイン名と同一、推測できるもの
辞書に載っている言葉
admin,passwordなど誰もが考えつきそうな言葉

以上のようなID、パスワードにしないように注意してください。できれば、次の条件で設定することをオススメします。

英数字を組み合わせた複雑なもの
辞書に載っている言葉は利用しない
サイト、サービスによってパスワードを変える
推測可能ではないもの

2段階認証を取り入れる

こちらは、特に重要なサイトである場合はやっておくべきです。プラグイン「Authy Two Factor Authentication」により設定が可能です。プラグインのインストール方法はこちらの記事を参考にしてください。

WordPressを常に最新版へ

WordPressのバージョンを常に最新版に保っておくようにしてください。

無料配布テンプレートの使用は避ける

無料配布テンプレートを利用していると、 wp-config.phpが改ざんされやすいという危険があります。こちらの下の方で紹介している賢威というテンプレートを導入することを推奨します。 24800円という金額であり利用者数はそこまで多くないため安全性が高いです。値段で安全を購入していると考えてください。以上の5段階をやっておけば、ほぼ安全だと思われます。何か最新情報が入りましたら、また追加していきます。他の、WordPressのサイト開設方法、運営方法関連記事はこちらにまとめています。