【緊急】WordPressでスマホ用WPtouch使ってる初心者は注意です

2013年6月28日

最近、WordPressを使ってるサーバに対し、猛烈アタックが行われてることはご存じだと思います。もちろんWordPress使ってなくても猛攻撃されてますけど、使ってると構造とかがわかりやすいのでさらに標的になりやすいわけです。

こちらを参考に
WordPress初心者の皆さま、まさか「admin」アカウントは残してないよね?

アタックがある度に相手のIPアドレスをブロックしているのですが、大半が中国

china

このように2秒間隔でadminというアカウントでパスワード変えてアタックして来ます。相手のIPアドレスは222.76.55.110なので

サーバ

この辺のサーバ。乗っ取られたボットなのか偽装なのか、それともばれてもいいやと堂々とやってるのかは不明です。中には1秒ごとにパスワード変えつつ数百〜千回チャレンジしてるのもある。サーバの負担も大変だよ・・

イラク ラトビア

ラトビアとイラクもあります。しかしネスケの4.0と3.0!!!! 20年くらい前の古いパソコンだ・・これは乗っ取られてるんでしょうな・・。Androidからもアタックがあります。これもたぶん同様に乗っとられてるんでしょう。人間がスマホから手でやっていたら指がつるわ。

で、いままでアメブロで「アメブロでビジネス最高」とかいってた怪しい人たちが、手のひら返したように「これからはWordPressだ」とか言ってるわけですが、何も知らないでデフォルトで使ってると、サーバ乗っ取りの餌食です。乗っ取られて知らないうちに変なプログラムを置かれて、アクセスした人のパソコンに侵入し個人情報とか銀行口座を盗み出したりします。

昔のWordPressのデフォルトのアカウント「admin」はおろか、ドメイン名の前部分をユーザーIDに設定してアタックしてくる。たとえばこのブログはlanderblue.co.jpですが、アカウント名「Landerblue」でいろいろなパスワードを組み合わせてアタックしてきます。あと「manager」「moderator」「administrator」というのも多いですね。いま見てビビッタのは、プラグインを入れているとそのプラグインの開発者名でもアタックしています。

名前はもう×かもしれない。日本人多い名前リストでアタックしてくる日が近い気がする。tanakaとかwatanabeとかyamamotoなんていうユーザーIDは早いうちに変えましょう。意味の無い文字列が最高です。

こういうユーザーIDの場合は、別の管理者のIDを作って、それにいままでの投稿を振り分けて前のを削除するわけ。ユーザーIDは変更できないからね。

振り分けないで削除だけすると投稿が全部消えるので注意です。まあ間違って消したらバックアップから復帰してください。実は初心者の頃、わたしも1回やって血の気が引きました。

んが・・・・!!

それだけではダメなのです。たとえばだいたいのレンタルサーバには、簡単WordPressインストール機能があって「WPtouch」というスマホで見た時にスマホ用に表示されるプラグインが入っています。このブログも使っています。スマホ対策ができる便利なプラグインですが・・このプラグインを使うと・・デフォルトのままでは

投稿者のアカウントが丸見えなのです!!
※発見者の遠藤君、教えてくれてありがとう。ちなみにわたしの環境では「投稿者名を表示」のチェックを外してもご覧のように出っぱなしです。別にいいので放置してありますが。一覧からは外れるのですが個々のからはだめなようです。

写真_edited-2

まあ、このブログは下記のように対応してますので、ユーザーIDは表示してませんが・・・あしからず・・・。ここだけの話、以前はissekiというわかりやすいユーザーIDでした(激汗!!)ので、どう考えてもわかんないIDに変えてあります。

また、このブログはTwenty TenというWordPressのデフォルトテーマを使っていますが、このテーマの場合・・・

タイトル

のように、タイトル下の投稿者のところにデフォルトだとユーザーIDが出ます。これがわかってしまえばあとはパスワードだけ何万回も当てはめれば良いので、ハッキングというかクラッキングされる敷居が急に下がります。

そこで・・ニックネームを設定して、乗っ取りを防ぐ方法

最新の3.5.2Jaの場合・・・まず・・・ログインしたら右上の
1
の部分のところの「プロフィールの編集」をクリック
ニックネームというのがあるのですが、これはデフォルトではユーザーIDのままになっているはずです。

2

ここを日本語とかに変える。ユーザーIDと違うほうがさらにいいです。
変えると、ブログ上の表示名これに選択できるようになります。

userid

で。プロフィールを更新。そうすると、わたしのブログのように、投稿者のところにはニックネームが表示され、ユーザーIDはでなくなります。めでたし。めでたし。

このエントリーを書くにあたっていろいろな個人ブロガーでWordPress使ってるところをスマホから見てみました。けっこうユーザーID見えてました。汗
デフォルトテーマのままでやってるような方は大半見え見えでございました・・・

(追記)質問いただいたのですが、一番有効なのは長目で、単語として意味の無い、大文字子戻し数字の組み合わせのパスワードを使うこと。それを定期的に変更する。想像の付かないユーザーID、ニックネームの使用、きちんとしたパスワード。この3点でほぼブロックできるはずです。ただしWPの場合はその気になればユーザーIDはいろいろなところに露出しているので特定することができる場合が多いです。

→詳しくは次のブログをご覧ください。

話は変わるんですが、Galaxy Tabって普通のシガーライター取り出しのUSBだとチャージできないの、知ってます?はじめはコードがおかしいのかなとかいろいろやってみましたが、どうもシガーライターから取り出す電流の容量が相当大きくないと充電できないらしい。電源を切ってると充電できるシガーライターもあるが意味ないし。Amazonで探し回ってこれ買ってみました。テストしてOKならブログのネタにしますわ・・

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP