WordPressをはじめて一週間たった。

その間に様々なセキュリティについて調べ、いくつか実施してきたけれど
実際そんなにこれ意味ないだろ！ って定番セキュリティ対策をいくつか発見した。

1.ユーザー名はadminではダメだ。管理画面のログインIDがバレてしまう！！

ええ、これはよく言われる対策の一つですね。

でも、今日怪しいアクセスありまして、なんどもブルートフォースアタックをしているみたいなんですね。

そいつがその前にやっていたのは glorificatio.org/?author=1 へのアクセス。
その後ログインページに移動して、ブルートフォースアタック。

試しに僕もそのURLにアクセスしたら、リダイレクト先のURLにバッチリIDが書かれている。
authorの数値の1にユーザーが存在しなくても、数を増やせばそのうち使っているユーザー名がわかるらしい。

adminを変更して、ランダムな文字列にしていてもこれでそのうちわかっちゃうのだ。

何かこのIDを隠す設定ができる方法を知っているからがいましたらおしえてください。

もっとも重要なことはパスワードを物凄く強固にすること。
六桁なんて短い！16桁以上で英数字大文字小文字ランダムで生成したパスワードを使うと良いとおもう。

あとはプラグインで連続してパスワードを間違えるとロックをかけるというものもあるので、それを試してみてもいいでしょう。

ベーシック認証を設定するのもいいかもしれない。
二重にログインしなければならないからブルートフォースアタックをだいぶ防げるでしょう。

またApacheの設定で、ログインページを特定のIPだけに表示という事もできるけれど、
一般的なプロバイダはIPアドレス変わるから設定は難しいでしょうね。

 2．wp-contentディレクトリの名前を変えて重要なファイルの在り処をわかりにくくするのだ！

これも意味がないという事わかりました。
だって画像のURLをみたらwp-content配下なんですもの
名前変えても画像ファイル調べたら一発でわかる。

不安だったApacheの設定で外部からアクセスできるファイルを制限するとか方法があるのでそちらをやったほうがいいかも。

んーしかし実際そこまで必要なのかな？
多くの人が使っていて開発も盛んに行われているこのソフトだから、
その程度で防げる脆弱性っていうのももう無いんじゃないかとは思う。

まとめ

やはり重要なのは最も基本的なことで、パスワードは強固なものを使って
脆弱性の情報を調べて、適切にバージョンアップをする。
不必要なサービスは止めて、ポートは閉じる。

こういうところを抑えてこそのその他のセキュリティなのかな？