SiteGuardワードプレスが一気に普及している。そうするとアタックを試みる人も多くなるわけで、被害を聞くようになった。アタックする目的はやはり記事改ざんで、フィッシング詐欺などに用いようとしているのであろう。
それに対してワードプレスのログインページはとても脆弱だ。少し前までは、管理者のアカウントのデフォルト値を「admin」にしていたぐらいだ。さすがに今はそれはなくなったが、アカウント名がわかれば、後はロボットを使って総当たりでパスワードを試せばよい。ワードプレスは普及が急速すぎてそういうセキュリティ機能が追い付いていない。そこでセキュリティプラグインの登場である。
どういうプラグインを入れればよいかは、ノウハウの一つなのであまり話したくはないのだが、公共性が高いので、セキュリティソフトを2つ紹介する。まず一つ目は、SiteGuard WP Pluginである。インストールして有効にするだけのデフォルト状態だけでも効果がある。
具体的に機能を書くと、
・ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守る。
・ログインページ名を変更する。
・ログインページ、コメント投稿に画像認証を追加する
・ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返す。
・ログイン失敗を繰り返す接続元を一定期間ロックする。
・ログインがあったことを、メールで通知する。
・正しい入力を行っても、ログインを一回失敗する。
といった機能がある。
古いワードプレスの利用者は、セキュリティFIXが積み重ねてある新しいワードプレスのバージョンに上げ、こういったプラグインを利用することをお勧めする。

スマホ対応ワードプレスセルフプラン
スマホ対応ワードプレス新規構築プラン
スマホ対応ワードプレスリニューアルプラン