2017年の3月にこのサイトが改ざんされました。
原因はWordPressのセキュリティホールをついた攻撃でこのサイトだけでなくかなりのサイトが改ざんされたようです。
原因はこのサイトがWordPressのVer4.7.1を使っていた為で、このバージョンでは表示されたページである操作をするとWordPressのユーザ認証なしにコンテンツとURLの改ざんができてしまうセキュリティホールがあったようです。
今後の対策は下記になります。
①WordPressやプラグインは「常に最新なもの」を利用する。
②WordPressのサインインに「2要素認証」を採用する。
「2要素認証」は「2段階認証」、「2ステップ認証」とも呼ばれます。
ここではWordPressの「2要素認証」について解説します。
2要素認証を使う上での注意点
「2要素認証」はサインインする時に通常の「パスワード」に加えて、スマホに表示されるOTP(One Time Password)を利用する方法です。
しかし、そのスマホを自宅に忘れる、壊れた、紛失した時はどうなるのでしょうか?
当然「スマホが無いとサインインできない」のですがこの時「どのようにするか?」を事前に知っておく事が「2要素認証」を使う上でのポイントになります。
<目次>
1.WordPressを2要素認証にする方法
1.事前準備
利用しているスマホに「Google認証システム」をインストールします。
2.2要素認証の設定
①プラグインをインストールして有効化します。
プラグインの新規追加画面で「Google Authenticator」で検索します。
■「今すぐインストール」を実行後「有効化」をします
②ダッシュボードの「ユーザ→あなたのプロフィール」を開く
メニュの「ユーザ→あなたのプロフィール」を開きます
■プロフィールの中に「Google Authenticator」のメニュが追加されます。
③Google Authenticator Settingsの各項目を設定します。
プロフィール画面の中に下記項目が追加されます。
■「Active」にチェックを付けます。
■「Relaxed mode」にチェックを付けます。
これはサーバとスマホの時刻が少しずれてもOKにするモードです。
この設定はスマホのコードが変わっても3分以内ならOKなので慌てずにログインできます。
■「Description」に任意の名前をいれます。
これはデバイスの2段階認証アプリに表示される名前です。
英数字でどのアプリか分かる名前を付けて下さい
■「Show/Hide QR code」ボタンを挿入するとQRコードが表示させるので、スマホの2段階認証アプリで読み込みます。
「Google認証システム」の画面で+ボタンを挿入しQRコードを指定して読み込みます。
■最後に「プロフィールの更新」で終了します。
以上で設定は終了です。
3.サインインの仕方
WordPressのサインイン画面画面が下記に変更されます。
■「Google Authenticator code」欄にスマホに表示された6桁のOTPコードを入れてサインインします。
2.スマホが無い時の対応方法
■下記操作は「WebDAV接続」が設定されていると簡単にできます。
当該WordPressサイトの「wp-content→plugins」フォルダの下にある「google-authenticator」の名前を変更します。
例)「google-authenticator」→ 「_google-authenticator」
以上で通常のログイン画面に戻りますので、パスワードだけでサインインできます。
スマホ問題が解決したら、フォルダ名を元に戻してください。
これだけで2要素認証画面に戻ります。
3.【参考】WordPressへのアタック状況を知る方法
WordPressにどれ位アタックがあるか?は下記プラグインで確認できます。
1.「SiteGuard WP Plugin」のインストールと有効化
プラグインの新規追加画面で「SiteGuard WP Plugin」で検索します。
■今すぐインストールを実行後、有効化します。
2.「SiteGuard WP Plugin」の設定の変更
このプラグインはログイン画面もデフォルトで変更してしまうので、その設定を元に戻します。
このプラグインを有効化するとメニュに下記メニュが追加されます。
①「SiteGuard → ログインページ変更」を実行します。
OFFにし「変更を保存」を実行します
②「SiteGuard → 画像認証」を実行します。
OFFにし「変更を保存」を実行します
以上で通常のWordPressログイン画面になりました。
3.どれ位アタックがあるか?の確認
メニュの「SiteGuard → ログイン履歴」を見ると確認できます。
このサイトの場合はビックリするぐらいアタックがあります!
IPアドレスが表示されているので「IPアドレス所在地サーチ」で何処からのアタックか?を見てください。
世界中からアタックがある事が確認できます。
4.SiteGuardの良い所
この「SiteGuard」の良い所は、ログイン履歴が見れる以外にWordPressやプラグインの更新バージョンがある時にメールで知らせてくれる機能です。
メニュの「SiteGuard → 更新通知」を見て下さい。
ONにし「変更を保存」を実行します
5.SiteGuardで絶対、やってはならない事
メニュの「SiteGuard → XMLRPC防御」を開いて下さい。
■XMLRCを無効化すると、WordPressが動かなくなります。
XMLRCを無効化してしまった場合の復旧方法
「XMLRCを無効化」を実行すると「.htaccess」に変更が加えられた結果、WordPressが動かなくなります。
「.htaccess」を開いて、「SiteGuard」が書き込んだ所を削除して下さい。これで復旧します。