つなワタリ@捨て身の「プロ無謀家」(@27watari)です。
ブログを書かれている人にとって、WordPressは必須ツールといえます。このWordPressへの不正アクセスが増加しています。どうやら狙いは「wlwmanifest.xml」ファイルのようです。この「wlwmanifest.xml」ファイルがハッキングされると、サイトが書き換えられてしまいます。ヤバいです。では、今回はWordPressの不正アクセスに関連したセキュリティ情報お伝えします。
WordPressへの不正アクセスに関する情報を知りたい人……WordPressで狙われている設定ファイルの一つである「wlwmanifest.xml」に関する最新情報と対策などを紹介します。
【目次】本記事の内容
WordPressへの不正アクセスが増えている! ハッキングに注意!
最近、海外からサイトへの不正アクセスが増えてきているようです。
みなさんのサイトは大丈夫でしょうか?
海外からというのは、あまりにもザックリしていますよね。そこでいろいろと調べてみますと、アメリカ、ヨーロッパ、中国などからの攻撃が多いようです。不正アクセスの内容は、Windows Live Writerというツールの設定ファイル「wlwmanifest.xml」を狙ったもの、「PHPMyAdmin」を探しているもの、「ThinkPHP」から不正な入力を行うもの(OSコマンドインジェクション)といったものです。
攻撃方法は、ブルートフォースアタック(総当たり攻撃)
不正アクセスの攻撃スタイルは、ブルートフォースアタック(Brute force attack)と呼ばれるものです。これは日本語では「総当たり攻撃」と呼ばれています。
この攻撃方法はは、考えられるすべての組み合わせを試してログインを試みるというものです。ちなみに英字だけの4ケタの組み合わせは数秒で破られてしまいます。最近のパスワードが6〜8ケタで、さらに数字を組み入れるようになったのは、このブルートフォースアタック(総当たり攻撃)に破られないためです。
ブルートフォースアタック(総当たり攻撃)を避けたいならば、複雑なパスワードを使ってください。もしくは指定の回数だけログイン失敗をしたら、一定時間だけロックするというプラグイン「SiteGuard WP Plugin」を導入するのもアリかもしれません。「SiteGuard WP Plugin」はかなり強力なプラグインです。
参考:
・SiteGuard WP Plugin(公式サイト)
https://www.jp-secure.com/siteguard_wp_plugin/
さて、話が少しズレてしまいましたが、今回はとくにWordPressで狙われている「wlwmanifest.xml」に関する情報を掘り下げていきます。
「wlwmanifest.xml」って、そもそも何?
「wlwmanifest.xml」というのは「wlw」の「manifest」ファイルのことです。つまり「wlw(Windows Live Writer)の証明書」というファイルです。Windows Live WriterというツールはOpen Live Writer以前のアプリで、Microsoft製のブログ編集ツールです。
私はmac使いですのでよくわかりませんが、Windows利用者にとっては使い慣れたツールのようです。
「wlwmanifest.xml」が狙われる理由
もし「wlwmanifest.xml」が攻略された場合、WordPressのサイトが自由に書き換えられてしまいます。
どういった対応をすればいいのか?
サーバーによっては「wlwmanifest.xmlへの攻撃」に対して独自に対応しているようです。
たとえばエックスサーバーですと、全プランにおいて無料でWordPressでの「wlwmanifest.xml」ファイルへの国外IPアドレスからのWebアクセスを制限しています。ですのでエックスサーバー利用者は、「wlwmanifest.xmlへの攻撃」に対して心配することはありません。
参考:
・WordPressの「wlwmanifest.xml」ファイルに対するアクセス制限と設定機能追加のお知らせ(エックスサーバー/2020.03.04)
https://business.xserver.ne.jp/news/detail.php?view_id=8826
しかし、こういった対応をしてくれないサーバーを利用している人はどうすればいいのでしょうか。
◯ハッキングに必要な情報を隠蔽するプラグイン
ハッキングに必要な情報は、「ログインユーザー」「ログインパスワード」「ログインをする場所」などです。これらの情報のどれかを隠蔽してしまえば、簡単にハッキングされることはありません。そのためにはログインユーザーを隠す「Edit Author Slug」というプラグインがあります。また防御プラグイン「SiteGuard」なども有効です。
プラグインを入れすぎるとWordPressの動作が遅くなりますが、心配の方は入れておくといいでしょう。
ちなみに私は入れておりません。私はエックスサーバーを利用しており、こういった最新のネットトラブルにエックスサーバーはすぐに対応してくれるのがありがたたいです。
参考:国内シェアNo.1レンタルサーバー『エックスサーバー』
https://www.xserver.ne.jp
では、快適なWordPressブログライフを!
参考:初心者&個人事業主に安心の有料WordPressテーマ
・Web集客に特化したWordPressテーマ『Emanon(エマノン)』
https://wp-emanon.jp/
・無料で試せる事業用WordPressテーマ『New Standard(エマノン)』
https://newstd.net/
↓[ Googleセレクト 関連コンテンツ ]↓
wordpressやるなら
エックスサーバーがオススメ!
このサイトはスタート時より「wordpress × エックスサーバー」によって運営しております。他のサーバーとも契約をして別サイトを構築しておりますが、エックスサーバーの使い勝手がイチバンです。セキュリティ、サポートに満足しております。しかも低コストです。利用者が多いので情報がネットに多いことも助かります。
詳細は下記ボタンより
【WordPressのコメント欄を閉鎖する】大量のスパムコメントを排除する方法
【AIOSEOスコアの詳細】100点にしたい? 点数基準の3項目を解説
