こんにちわ。
TOMOROHです。
コタツが撤収され、居場所がなくなりました。
(´・ω・`)ショボーン
さて、タイトルの件。
ちょっと前に話題になったWordPressを利用しているサイトへの
不正アクセスの事例が話題となったと思います。
手口としては、
初期構築時に自動的に作成されるユーザーが
一意で「admin」で作成されるため、パスワードを総当り的にアクセスして
不正な記事を投稿しようとする試みだったかと思います。
ここで不正アクセスに利用されている
「xmlrpc.php」というファイルは
WordPressの管理画面にログインしている人については、必要ないので削除またはリネームで対応できますが、
ipadのアプリやホームページビルダーとかを利用して外部から更新をしている人はそれをすると更新できなくなります。
ですので、
「xmlrpc.php」の名前を「hogehoge.php」
とかに変更し、外部からの更新ツールのアクセス先のファイルを変更する。
「wp-login.php」の名前も変更する。
ログインIDを利用するアクセス先が変更されるためログインを試行されることが
なくなるというわけです。
やったら、結構なソースを変更しないといけないので利便性とのバランスを考えると
今回はパスすることに。
あと
別ユーザーを作成し、adminユーザーを削除して
新規に作成したユーザーへ記事を移管する
ということも合わせて実施する必要がありそうです。
ここで、必要なのはパスワードの強度。
せっかくユーザーを変えても、パスワードが
安直なものだったり、IDと一緒だったりするとまったく意味がないので。
だって、ユーザーIDって投稿者の欄に出てますよね。
なんでこんな記事を書いてるかというと、
レンタルサーバーの「lolipop」と「さくらインターネット」さんから
「注意してね♪」というメールが届いていたもので。
以上
2013/05/21 加筆修正
コメントを残す