WordPressブログへの不正アクセス1
WordPressは世界中のWEBサイトの30%以上のシェアを占めています。使い勝手が良く、豊富なプラグインや外観を司るテーマがあり、自由にブログを作れる楽しさがあります。シェアが多いという事は、その分不正アクセスの攻撃も不幸にして多くなってしまいます。
画像は僕が管理している別のWordPressサイトへの不正アクセスの記録です。これでも不正アクセスのごく一部に過ぎません。
XSSやSQLインジェクション、ディレクトリトラバーサル等のbotでWordPressサイトを自動巡回しての不正アクセスは、ここ数年減少傾向です。WAFが無料で追加利用できるサーバーが普及してきているからでしょうか。それに代わってbot巡回に変わりはありませんが、プラグインやテーマを直接狙ってきたり、/?author=1やxmlrpc.phpへのアクセスで、情報を盗もうとする不正なアクセスが増えています。
ユーザー情報を収集しておいて、セキュリティホール等が見つかったタイミングを見計らって、改ざんやハッキングしようとしているのではないでしょうか。第3者に不要な情報を開示する必要性は全くないので、ブロックしておくべきアクセスだと思います。
サーバーの仕様やセキュリティ・プラグインによっては、これらのアクセスを受け付けてしまう例も結構見受けられます。対処しておくべきだと思うのですが・・・。
レンタルサーバー運営会社のサービスが向上してきて、WordPressブログを始めるハードルがどんどん下がって簡単になって来ています。その分セキュリティ対策に目を向けるべきだと思います。
2020年に向けて、不正アクセスは間違いなく増え、その手法も増々高度化すると言われています。
このブログも画像で示した別のWEBサイトも、セキュリティ・プラグインWordfenceを導入しています。別サイトでは4年前からWordfenceを使っています。今現在のところ、過去1度も不正アクセスで侵入や改ざん、内部に侵入されたり等はありません。
世界中で150万件を超える被害があったWordPress4.7.0から4.7.1での不正改ざん事件も、無事に被害に遇うことなく乗り越えています。
WordPressブログのセキュリティ対策として、充分な性能と機能があると感じています。日本語化されていないのと、データベースに少々負荷が掛かるのが欠点と言えば欠点ですが、インストールしただけのデフォルト設定でも、かなりの防御力があります。導入後に徐々に設定を詰めていく使い方でも良いと思います。広告はちょっとウザいと感じてしまいますけど、性能や機能は信頼している、優れたWordPressセキュリティ・プラグインです。
Wordfenceについては、改めて詳しく書く予定です。