注)この記事はアフィリエイト報酬を得る目的で書かれています。
10年以上ブロガーやっていると、WordPressの乗っ取り被害報告事例を何件も見ることがあります。
WordPressの乗っ取り事例1 サーバーの不備
2013年。もう10年前のことなので時効でしょうか。
サーバーの不備で乗っ取り事例が多発したことがあります。これは我々利用者側でできることは何もないんですね。「利用しない」だけで。
問題はこのときのサーバーの発表と、親会社のCEOの対応で、自分の方の不備を棚に上げて他のサービスの不備と決めつけるような発表をしたことです。最後には自分の方の不備と認めましたが。
こういう対応をするCEOなのですね、ということでA子はこの方が関連する会社のサービスは全て切ってます。利用しているサービスなどの背後にいる可能性はありますし、社外取締役などに入っている可能性はあります。でもCEOをしている会社やその子会社は、A子がコンシューマーとして契約することはありません。
どこか知りたい方は、「2013年 第三者によるユーザーサイトの改ざん被害」でググると出てくると思います。
これ以来、この会社もですが日本のレンタルサーバー会社は、海外からのアクセス制限を行うところが多くなりました。
WordPressの乗っ取り事例2 テーマ・プラグインの不備
A子が持っているサイトは、全てテーマ・プラグインは少なめにしています。
古いブログの中にはプラグインの整理がうまくできていないものもまだあります。
海外からのアクセス制限があるサーバーを契約しておけば、比較的安全です。テーマの不備、プラグインの不備から乗っ取り・改ざんされることはこちらで潰すことができます。
↓二つは、海外からのアクセス制限があります。
\エックスサーバー/ \スターサーバー/それぞれのサーバーについては、こちらの記事に詳しく書いています→おすすめのレンタルサーバー会社とドメイン会社
アップデートが頻繁に行われ、かつ、一般的に使われるプラグインはその代用ができるようなテーマがあればいいんですよ。
テーマに多少不備があっても頻繁にアップデートが行われれば多少は穴が潰されます。
プラグインも使わずにすむ機能付きのテーマなら、プラグインも使わずにすみます。
Cocoonを使って、プラグインを減らす
そんな美味しい話があるんですよ、それが。これが無料のCocoonです。
Cocoonはエックスサーバーだと今はデフォルトで入っているようですが、スターサーバー含めてそれ以外だと手動で入れないとなりません。でも、アップデートされたものを自分で引っ張ってくる必要はないので、管理が楽です。
Cocoonは「スキン」に複数候補があり、これを元に手を加えていくことはできます。ただ、見る人が見れば、Cocoonですね、とわかります。
でも、それがなんでしょう!手を加えれば見た目はある程度変えられるんだし。
オリジナルのテーマを一から作ってセキュリティ万全です!ってやるのもどうかな。
情報商材屋さんの中には「使っていいですよ」というテーマを配布してくれるところもあるんだけど、テーマのメンテナンスはしてくれたことがないように思います。
有料テーマ屋さんも、永遠にアップデートし続けてくれるわけではないです。
企業の自社HP管理部門みたいな、ずーっと張り付いてメンテナンスしてくれる人を雇うことも契約することができないし。
Cocoonだろうなとわかるとしても、見た目を変化させて個性の表現は可能です。
ブロガーやるなら、セキュリティ周りや、デザインに気をとられるよりも、文を書く方に力を込めるのが先かな?というのが、古参の見解です。
ですので、A子にココナラでWordPressの設定の依頼をしていただいた場合には、原則Cocoonを入れてお渡しします。
Cocoonでできること、できないことについてはまた別の記事を書きます。
テーマは、テスト用にTwentyシリーズを一つ残す
ダッシュボード>外観>テーマで、入っているテーマを見ることができます。
A子にココナラでWordPressの設定の依頼をしていただいた場合に、指定がない限りテーマはこのようになっています。
Cocoonの親テーマと子テーマ(このことはCocoonのコーナーで書きます)、そして、Twenty Twenty-Threeです。(Twenty Twenty-Fourなど最新版が出たらそれになります)
このTwentyシリーズは、WordPressチーム謹製のものです。
プラグインの更新のタイミング、テーマの更新のタイミングなどで、どうしても小さな不具合が発生します。
そのときに何が犯人かを突き止めるために、一つずつ停止してテストします。テーマとプラグイン、プラグインとプラグインの相性があります。いくらCocoonでも全てのプラグインといつでも100%のパフォーマンスを出せるとは限りません。
なので、犯人探しをするときに、WordPressチームのテーマを対比のために使います。
例示ですが。
事象:Cocoon(子テーマ)にしているとなんらかの不具合が発生した。これをTwenty Twenty-Threeに変更すると起きない。再度Cocoon(子テーマ)にすると不具合がある。
そうすると、
- Cocoon(子テーマ)に最近加えた変更がなんらかの悪さをしている可能性
- Cocoon(子テーマ)と、最近アップデートしたプラグインの相性が悪い可能性
のようなことを推測できます。
WordPressの乗っ取り事例3 ブルートフォースアタックでログインネーム+パスワードが推測された
なんらかの理由で流出させた場合以外にも、ブルートフォースアタック(総当たり戦)で探すことがあります。
これを防御するプラグインがいくつかありますので、適宜お使いください。
案1)ログインネームを隠す
案2)パスワードを何回間違えたら何分間ログイン不可にする、というのも結構強力です。(ログイン試行制限)
なお、A子はこのサイトでは1回でアウトにしています。もちろんログインページはIPの記録をとります。
案3)reCapcha
これで、botによる総当たり戦はむずかしくなります。A子は「ひらがな」にしています。過去の私の攻撃元を見ると、アメリカ・中国・ブラジル・ロシアが多いです。
ココナラでA子にWordPress設定の依頼をしていただいた場合には、とあるプラグインを1つ使ってこの三つを設定します。ググればすぐに出てきます。ログイン試行制限に関しては、数値をいじらず、デフォルトでお渡しします。
(ご注意 最近このプラグインで私の手持ちサイトの1つでよく不具合が起きてるので、昔から使っているプラグイン複数の組み合わせにするかもしれません。それでも比較的堅牢に作れます)
ログイン画面はこんな感じに。
2段階認証が一番強力かもしれません。ただ、私が設定してお渡しするのに2段階認証すると問題なので行いません。
