Gem-one adIT

~ホームページ作成,システム開発のGem-one adITです~[スマフォ版](PC版へ)


あなたのそばにITを。
トップページ > HOWTO > wordpress

WordPressのパスワード選び

分類 :

Gem-one adITの権蔵です。
皆様、こんにちは!

前回、Wordpressの管理者名をAdminにしている方へアラートを出させてもらいました。

記事、読んでいない方は、是非よんでくださいね。
Wordpressの管理者名 adminのままですか?

どうしていけないの?

前回の記事で、「総当たり」という言葉を使って脅威をご紹介しました。

パスワードを「手持ちの辞書」や「予測「勘」などで総当たりすれば不正ログインができてしまいます

では総当たりってどうしてるの?というお話を1つ。

総当たり

実に地道なお話です。
たとえば、ユーザログインの頁で、IDにadminを指定して
1回目:パスワード0001でログイン
2回目:パスワード0002でログイン
3回目:パスワード0003でログイン

というように、機械的にパスワードを1つづつ変更してログインを試みる方法があります。
ログイン出来るまで、ずっと続けていく、地味な方法です。

また、一般的によくしられたパスワードの一覧を準備し、総当たりする場合もあります。
1回目:パスワードadminadminでログイン
2回目:パスワードAdminPassでログイン
3回目:パスワードhogehogeでログイン

この一覧のことを「辞書」という言い方をしてます。
どんな内容かは分かりかねますが、人の名前でしたり、愛称、adminなどの一般的な語彙が登録されていると思ってください。
この一覧にあるパスワードで、1回ずつ、ログインを試みるわけです。

パスワードは、推測しにくいものを入れなさいと、色々な人から言われると思います。
誕生日は駄目だとか、名前をいれちゃいけないよとか。
めちゃめちゃな文字の並びでパスワードを作ってもいいんでしょうが、人間、覚えにくいものを覚えるほどつらいものはないです。
だから、大抵、何かの言葉だったり、愛称などを入れてしまいがち。

その裏をついてきているということですね。

総当たりに引っかからないパスワードを選ぼう

不正アクセスを試みる人は、機械的なアクセスや、辞書などを利用したアクセスを行ってきます。

これに対する防御は、最終的にはパスワードの「頑丈さ」につきます。
色々ソフトウェアで防御は出来ますが、そうはいってもパスワードが最後の砦になります。

パスワード選び

では、その砦に使うパスワードは、どんなものが良いのでしょうか?
・出来るだけ長い文字のパスワードであること
・国語辞典や英語の辞典などに載っている言葉を使わないこと
・数字、アルファベット小文字大文字を含むこと
・パスワードに、言葉の意味を持たせないこと
また、
・定期的に変更すること
も忘れずに。

なかなかハードル高いですよね。
でも、「お金をかけずに安全を買える」んですから、やってみてくださいね♪

皆様、よいパスワード選びを!
ではでは!

WordPressの管理者名 adminのままですか?

Wordpress ログイン

WordPress ログイン

Gem-one adITの権蔵です。
皆様こんにちは!

今日はWordpressを運用なすっている方へ、ちょっとしたセキュリティ対策をご紹介します。

その1 admin という管理者を作らない

というお話を1つ。

秘密は多いほうがいい

一般的に、

パスワードが盗まれなければ安全です

と考えがちですよね。
パスワードがバレなければ、不正ログインされないですものね。
あたり前な話です。

さて、ここで1つ。
記事を書くためには、管理画面へログインしますよね。
その時、2つの情報を入れるはずです。

ログインID と パスワード

この2つの情報のうち、

  • IDは誰でも知っていて、パスワードは誰もしらない
  • IDも、パスワードも誰もしらない

という状態があります。

いったいどちらが安全だと思いますか?

方や1つはバレています。後者は2つとも秘密になっています。
どちらが安全かと言われれば、それは後者ですよね。

IDもある種秘密な情報

ログインIDも、秘密な情報にしておけば、不正ログインを行う人は、ログイン時に秘密な情報を2つ入力する必要がありますよね。
でも、IDがadminと分かっていると、秘密な情報は1つしか入れなくていいわけです。

大きな違いですね。

なぜ「admin」という名はいけないの?

その昔、Wordpressをインストールすると、標準で「admin」という管理者IDが作られました。
その習慣もあってか、Wordpressをインストールする際、「admin」という名前で管理者を作る習慣が多く残ってます。
これは、運用上、管理しやすいのですが、このわかり安さが副作用に転じます。
悪意をもった人にとっては、格好な餌食をみつけた状態です。

ログインID と パスワード

この1つが分かったということですからね。
後は、パスワードを「手持ちの辞書」や「予測」「勘」などで総当たりすれば不正ログインできてしまいます。

adminがある方は対策しましょう

今からでも遅くないですので、adminというIDで運用をなさっている方は、対策を施しましょう。
早々に行うことは2つです。

  • 新規に管理者IDを作る
  • adminという管理者IDを消す

大きく2つ作業がありますが、余裕があれば「投稿専用のIDを新規につくる」というのも、入れておいた方がいいです。
通常は、管理者IDでログインせず、投稿専用のIDで運用するように心がけたほうがいいです。

操作方法

1)adminでログインする

2)ユーザを追加する

ユーザ新規追加

ユーザ新規追加


ユーザー追加

ユーザー追加

ユーザ名に、新しい管理者のIDを英字で入れましょう。内緒のIDです。
メールアドレスも入れてください。但し、adminで登録してあるメールアドレスは使えないです。
別のを用意してください。尚、権限グループは、「管理者」にしてください。
パスワードも新しいほうがいいですからね。

新しい管理者IDでログインする

adminをログオフしてください。そして、先ほど作った管理者IDでログインします。
これ大事ですので、お忘れなく!

adminユーザを削除する

「ユーザ一覧」を表示して、adminユーザを削除してください。
先ほどの「ユーザ新規作成」する際のメニューに「ユーザ一覧」がありますね。
選択後、右側に先ほど作成した管理者IDが追加されています。
その他に、adminという管理者IDがありますか?
adminと書いてある場所にマウスを持って行くと、「削除」というリンクが出てきます。
削除してしまいましょう。
削除ボタンを押すと、今までadmin名義で投稿してきた記事の所有者をどうするか聞いてきます。
新しいIDを選択してあげて、OKしてあげてください。
そうすれば、今までの記事が、新しい管理者名義の記事として登録し直されます。

余裕があれば違うIDを

余裕があれば、編集者権限か投稿者権限で違うIDを1つつくっておいてください。
一人で運用するのに、2つもID必要ないなーと思う方も、セキュリティ強化のためだと思って追加した方が良いです。
IDとパスワードは、使っていれば使っているほど、「漏洩する危険」が増えていきます。
ですので、普段使うIDは別にもっておき、管理するだけの管理者IDは別にもっておくということをお勧めしています。

いかがでしょうか?

少し面倒でしたか?
面倒でも、少しだけ設定してあるかないかで、雲泥の違いです。
管理者IDがとられてしまうと、じわじわと悪さをし始めます。
一気に改ざんされるならわかり安いですが、ずーっと居座られる場合だってあるわけです。
罠をかけられたり、そこから他の悪さを隠れてし始めたり。

皆様も、お気をつけくださいねん。
今日は、wordpressの管理者名についての記事でした!
でわでわ♪

wordpressのフィルター

分類 :

こんにちは。Gem-one adITの権蔵です。
Gem-one adITのこのブログでは、適宜、HOWTOものを記載していこうと思ってます。
今回は、CMS形態のホームページとして人気のwordpressの機能拡張のお話をさせて頂きます。
フィルターという機能の紹介です。

フィルター

私どものホーム-ページ作成サービスでも取り上げております、wordpressは、filterやactionなどの機構があります。
今回は、そのfilter(フィルター)を使ったテクニックを紹介してみましょう。

フィルターについて

全く話しは違うのですが、こんなイメージをつかんで頂ければと思います。

「自動販売機で120円のジュースを買う」、そんなシチュエーションを考えましょう。
150円を自動販売機に入れ、ジュースを選択した後、自動販売機は、こんなことをしてます。

  1. スイッチが押されたジュースを出す
  2. おつりを出す

ごく当たり前な処理ですね。
さて、皆さん、冷たい飲み物を自動販売機で購入すると、缶に水滴がついていたりませんか?
そこで、ある業者さんは考えました。ぬれている缶を拭いてお客様に出してあげたいと。
自動販売機の中のジュースが転げ落ちる「トレイ」の中に、マイクロファイバーのタオルをひいたのでっす♪
めでたしめでたし、お客様の手が濡れずにすみました。

こういったように、元々の自動販売機の一連の手順の中に、少しだけ「工夫」を入れてあげる。
この考え方が、wordpressでいうところのフィルターにあたります。
「フィルター」とは、wordpressが持つ元々の一連の手順の中に、少しだけ「工夫」を入れてあげることができるという「技術」です。

たとえばこんなこと

wordpressで言うと、どんなことが一連の手順なのでしょうか。
たとえば、それはこんなことです。

  • ブラウザにホームページを出す
  • ホームページ情報をデータベースから読み出す

大きな枠組みでお話していますが、実際には「ブラウザにホームページを出す」だけでも、色々な手順が入ってきます。
wordpressは、この1つ1つの手順に対して、あらかじめ「フックポイント」が多数作ってあり、このフックポイントに「マイクロファイバーを敷いておく」等の処理が追加できます。
そして、このフックポイントに「かけてある処理」を、wordpressさんは、毎回毎回、まじめに1個ずつ処理してくれるわけです。

こんなフィルター

さて、今回はこんなフィルターを紹介してお話をおしまいにします。
フィルターで大事なのは、2つです。

  • いつの時点に工夫を入れたいのか
  • 何をするのか

先ほどの自動販売機の例では、「ジュースが出てくる際」に「ジュースを拭く」ということでした。
今回紹介するのは、
「ホームページがアクセスされた時」に「履歴を残す」というものにしましょう。

add_filter('template_include', 'gemone_templateLoader');
function gemone_templateLoader($template)
{
  履歴出力( $template がよばれたよ! );
  include( $template ); /*おまじない*/
  return false; /*おまじない*/
}

簡単に紹介しますと、add_filterの第1引数に「ホームページがアクセスされた時に」を指定しています。第二引数で、「履歴を残せ」としています。
どう履歴を残すの?という話が、functionに続く関数定義。
履歴を残すっていうのはね。。。という感じです。

まとめ

このようにして、wordpressはフィルターをうまく利用することで、1つ1つの機能を拡張することが可能になっています。本来持っているwordpressの充実した機能をさらに拡張し、ホームページを彩ることができます。

我々がご提供しているホーム-ページ作成サービスでは、このwordpressを最大限に利用したホームページ作成も承っています。

皆様、宜しくお願いします!

« 前ページへ