セキュリティ 一覧

ピンバック機能(XML-RPC)悪用対策

WordPressのピンバックによるDDoS攻撃が話題になっていますね。
こちらの記事によると、なんと162,000!?もの正規のサイト(スパムサイトではない)がDDoS攻撃の踏み台に悪用されたという驚きの内容です。

「今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃」

WordPressのピンバック機能は自分のサイトの記事URLが貼られると自動的に通知するという機能ですが、これはXML-RPC APIにより実装されており、3.5以上からはデフォルト有効になっています。 続きを読む

管理画面へのログイン URLを変更する

WordPressのログイン画面ファイルはwp-login.phpです。
URLはドメイン名+ログインページで”http://example.com/wp-login.php”のようになります。
また、管理画面のルートURLとなるwp-adminへのアクセスでも、ログイン画面にリダイレクトされます。

つまり、オープンソースのCMSであるWordpressの場合は誰でもログインページそのものにはたどり着くことができるのです。

続きを読む

WordPressでのスパムコメント対策

WordPressでサイトを運営していると大量のスパムコメントに悩まされるケースがあります。
簡易なアクセス解析にもなる「Wordpress Popular Posts」などを使っていると相当な数のアタックが行われていることが確認できます。
続きを読む

WordPressのログインユーザー名は丸見え!?

WordPressのセキュリティ対策で必ずいわれるのが、ユーザー名を「admin以外に変更しよう」です。
たしかにadminというユーザー名は変える必要があるでしょう。
しかし、実はデフォルトの状態ではadminであってもなくても、さして労力をかけずにアカウントIDは分かってしまいます。総当たり攻撃といわれるブルートフォースアタックから守らなければならないのは「ユーザー名」と「パスワード」のふたつですが、そのうちユーザー名はいともたやすく突破されてしまうのです。

続きを読む

管理画面(ダッシュボード)へのアクセスを制限する

大流行のガンプラーウィルスはFTPのパスワードを盗むというものですが、CMSの場合はもうひとつ大きな危険があります。
管理画面のログインID(ユーザー名)とパスワードを盗まれてしまうとやりたい放題なのです。
普及率の高いWordPressはとくに狙われやすいといえます。
「WEBサイトオーナーのガンブラーウイルス対策」ではFTP関連のセキュリティについて書きましたが、WordPressのダッシュボードの乗っ取りはまた別の問題です。
実際にログインパスワードを解析されるという被害は結構多いのです。 続きを読む

すべてのWEBサイトオーナーのガンブラーウイルス対策

猛威を振るっているガンブラー(トロイの木馬ウィルス系ウイルス)によるサイト改ざんの被害が後を絶ちません。

ガンブラーによるWebサイトの改ざんはFTPのアカウントとパスワードの流出から発生するもので、Webサイトオーナーならだれでも二次感染源になる可能性があるにも関わらず、いまだになんの対策もされていない数は相当数に上るようです。

鉄壁なセキュリティというのは存在しないのかもしれませんが、簡単にできて効果が高い(逆にこれだけはやっておいた方がよい)対策を紹介したいと思います。すべてのWebサイトオーナーに実践してほしいです。 続きを読む