≫2022年5月におすすめなVPNサービスはこちら

WordPressから身に覚えのないパスワードリセットメールが届いた

先日Wordpressから以下のようなメールが届きました。

Wordpressから見に覚えのないパスワードリセットメールが届いた

パスワードのリセットをリクエストしたとのことですが、パスワードのリセット等の操作は全くしておらず、身に覚えがない、、、

そこで色々と調べていくと、どこかの誰かが私のWordpressへのログインを試みたことが判明。
メールに添付されているURLも本物かどうか不明で、偽物だった場合ログイン情報が抜き取られることも。(心当たりのないメール内のURLはむやみにクリックしないほうが吉)

怖すぎるので、急遽ログイン周りのセキュリティ対策を施しました。

忘備録として手順を残しておきます。

WordPressが見に覚えのないパスワードリセットメールを送ってきたワケ

そもそもワードプレスのログイン画面には仕組みを知っている人であればだれでもたどり着けるのが問題。

ウェブサイトアドレス/wp-admin
ウェブサイトアドレス/wp-login

と入力すればだれでもログイン画面までは行けてしまうんです。

ログイン画面まで到達すればあとは総当たり。

ユーザー名をadminのままにしている人もいるので、パスワードがヒットすれば第三者にログインされてしまいます。(ユーザー名が初期設定もままの方は今すぐ変更した方がいいかも)

今回は、ログイン画面下部の「パスワードをお忘れですか」の部分を誰かがクリックしたため、Wordpressから「パスワードリセットメール」が届いたということですね。

ちなみに届いたメールにIPアドレスが表示されていたので検索してみると、中国からのアクセスでした。

まあ、VPNを使えばIPアドレスは変更できるので、確かなことは分かりませんが、いずれにしても怖い。

そこで、Wordpressのログイン周りのセキュリティを見直しました。

対策としては、

  • ログイン画面に到達できないようにする
  • 仮に到達できたとしてもログイン情報の入力回数を制限する
  • プログラム対策として計算式を導入

他にも対策しておきましたが、取り急ぎ上記を設定すればログイン周りの警備は厳重になるのかなと。

WordPressのログイン周りのセキュリティ強化手順

Wordpressから見に覚えのないパスワードリセットメールが届いた2

対策方法はプラグインの導入。

All In One WP Securityをインストールします。

プラグインのインストール・有効化の前にバックアップを取ることをお忘れなく。以下、自己責任での対応お願いします

インストールできたら「有効化」して設定を触っていきます。

All In One WP Securityは日本語対応しており、有効化後も日本語にて操作可能でした。

それではまずは「WPセキュリティ」内の「ユーザーログイン」の内容を変更

Wordpressから見に覚えのないパスワードリセットメールが届いた3
  • ログインロックダウン機能を有効化にチェック
  • 最大ログイン試行回数:任意の回数を設定
  • ログイン再試行時間 (分):任意の時間を設定
  • ロックアウト時間の長さ (分):任意の時間を設定
  • メールで通知:通知を受けるメールアドレスを設定

「ユーザーログイン」の項目は以上です。

次に「総当たり攻撃」の項目の「ログインページの名称変更設定 」へ

Wordpressから見に覚えのないパスワードリセットメールが届いた4

ここではログインURLを変更します。

自分にしか分からないようなログインURLを作成しておきましょう。

ここで変更したログインURLを忘れるとWordpressにログインできなくなるので要注意。忘れないようにすぐにブックマークやメモを取っておくべし

最後に同じく「総当たり攻撃」項目の「ログインcapcha」へ

Wordpressから見に覚えのないパスワードリセットメールが届いた5


プログラムやボットによる総当たり攻撃に対応できるように、計算式を導入していきます。

Wordpressから見に覚えのないパスワードリセットメールが届いた6

「ログインフォームcapchaの設定」にて項目にチェックを入れれば完了

Wordpressから見に覚えのないパスワードリセットメールが届いた7

ログイン画面に計算式が追加されました。

以上でWordpressログイン周りのセキュリティは強化されました。

All In One WP Securityはログイン周りだけではなく、Wordpress全般にかかわるセキュリティ対策を施せるので、この機会にWordpressのセキュリティ対策を見直してみるのもいいですね。

今回は以上です。
少しでもお役に立てれば幸いです。


コメント