TVのニュースなどで、不正アクセスやハッキングなどのサイバー犯罪の話題がちらほらみます。
自分には関係ないと考えていても、自分のサイトがその被害にあわないという確証はないですよね。
WordPressを使っている方は、世界でもかなり多いわけです。
ターゲットになりやすいともいえます。
もしものリスク回避のために、ログイン履歴が残るプラグインをいれてみました。
目 次
WordPressがハッキングされる?
WordPressの場合はインストールするときに、画面の指示に従って進めていくと、
ユーザー名は「admin」になっています。
面倒なのでそのまま使っているという方も多いですよね。
私も始めたばかりの頃はよくわからないので、しばらくそのまま使っていました(^^;
パスワードは自分で決めますが、あまり考えずに覚えやすいものを設定しがちですよね。
WordPressの場合はこの初期のユーザー名を使っている場合、パスワードさえわかれば簡単に不正ログインされてしまいます。
WordPressをハッキングする一番の方法は、ログイン画面で「よくつかわれるであろうユーザー名とパスワード」
を入力することです。
初期設定のままのadminと、推測しやすいパスワードの組み合わせは、WordPressの乗っ取りをたくらむ輩にとっては格好の餌食となるんですね。
WordPressのログイン画面のURLは「http://ドメイン/login.php」で共通しています。
なので、adminと幾通りかのパスワードを試しているうちに、「ログインできちゃった!」となるわけです。
いやいや、自分は大丈夫。
と思っているあなたも、でも、もしも・・という場合は常にあります。
あまりそういった知識がなくても、できることはあります。
まずは、本当に大丈夫なのか調べること。
そして、念のためユーザー名とパスワードを変更するということです。
Crazy Boneプラグイン
ログイン履歴を調べられるプラグインがあります。
これは、不正アクセスを試したかどうかもわかります。
WordPressのログイン履歴を監視してくれるんですね。
自分以外のIPアドレスからのログイン履歴があった場合は、警告が表示されます。
悪意ある外部からのアクセスを事前に把握できます。
ログイン・ログアウト時のユーザー名、日時、IPアドレス、ユーザーエージェントを記録します。
失敗したログインの情報も履歴に残してくれるので、それを見ると、どこからどんなユーザー名とパスワードでログインが試されたのかを知ることができます。
Crazy Boneのインストール
WordPressのダッシュボードで左のメニューから「プラグイン」⇒「新規追加」とクリックします。
検索窓に「Crazy Bone」と入力して検索します。
表示されたら、「今すぐインストール」をクリックします。
インストールが完了したら「有効化」をクリックします。
有効化すると、ダッシュボードの「ユーザ」に「ログイン履歴」が増えます。
実際に、ダッシュボードから「ユーザ」⇒「ログイン履歴」とクリックしてみましょう。
ログイン履歴の見方
設定したばかりなので、まだ自分のログイン情報だけがカウントされていると思います。
ちなみに、このプラグインを有効化している間は、画面右上をマウスオーバーするとログインしているユーザの情報と、ログイン時間などを確認できます。
管理者権限でログインしている場合は、全ユーザのログイン履歴 + 不明なアカウントのログイン履歴を表示することができます。
一般ユーザでログインした場合は、自分のアカウントでのログイン履歴のみ表示されるといったように、権限によって表示の違いがあります。
間違ったパスワードでログインしてしまった場合も、しっかりログが記録されます。
身におぼえがなく、これが何度も続くようなら、パスワード総当りのログイン攻撃を受けているかもしれないと想定ができます。
このプラグインで不正アクセスされているような状態を発見したら、ユーザー名とパスワードの変更をしてみましょう。
ユーザー名とパスワードの変更方法
パスワードだけを変更するのは管理画面から簡単にできます。
今回は、ユーザー名とパスワードを新しく作る方法をご紹介します。
ダッシュボードの画面左の「ユーザー」メニューから、「あなたのプロフィール」をクリックします。
プロフィール画面が表示されます。
下にスクロールして画面最下部の「新しいパスワード」欄に、半角英数で希望のパスワードを入力します。
「プロフィールを更新」ボタンをクリックすると、パスワードが変更されます。
パスワードはこれで変更できます。
ユーザー名を変えるには新たにユーザーを作成する必要があります。
ユーザー名の変更は、新しくユーザーを追加して、古いユーザーを削除という流れになります。
WordPressの管理画面にログインします。
次にWordPressのダッシュボードから「ユーザー」⇒「新規追加」をクリツクします。
新規ユーザーの追加画面でユーザー名、メールアドレス、パスワードを記載し
権限を「管理者」にして「新規ユーザーを追加」ボタンを押します。
※必ず権限を管理者にします。
ユーザー名、パスワードはあまり短いものだとセキュリティが弱くなるので10文字以上で設定するのが良いと思います。
新しいユーザーが追加されたのを確認したら、一旦「WordPressの管理画面」からログアウトします。
もう一度、今度は新しく追加した、ユーザー名とパスワードで再びWordPressの管理画面へログインします。
WordPressのダッシュボードからユーザー画面に移動します。
「ユーザー」をクリックすると、元々の「ユーザー名(初期のままだとadmin)」と新しく追加したユーザー名が表示されています。
「元のユーザー名」を削除します。
削除をすると次の画面に移行します。
元々の記事などがある場合、「すべてのコンテンツを以下のユーザーのものにする」にチェックを入れてから
削除を実行します。
※すでに記事がある場合で「すべてのコンテンツを以下のユーザーのものにする」にチェックをいれないで削除を実行すると、記事が失われます。
削除を実行すれば完了です。
今度からは新しい、ユーザー名とパスワードでログインします。
※WordPressダッシュボードの「ユーザー」⇒「あなたのプロフィール」で「ブログ上の表示名」をニックネームに変えていないとユーザー名が表示されてしまいます。
設定していない場合は、こちらも必ず変更します。
(ユーザー⇒あなたのプロフィールで変更)
ユーザー名とニックネームはセキュリティを強化するため、違う名前にします。
「ニックネーム」のところに、ブログで表示したい名前を入力します。
そして「ブログ上の表示名」のところで、ニックネームを選びましょう。
ログイン履歴の監視とユーザー名変更 さいごに
ユーザー名を変更する一番の理由は、セキュリティ対策のひとつです。
もしも、乗っ取られて、データをいじられたり、悪用されたり、全て消されたりしたら
なんて想像するだけで怖いですよね(><;。
これで一応ログイン画面からの侵入を少しは防げるようになりました。
でも、大事なのはまめにバックアップをとっておくことですね。
