最近、webサイト構築・運用支援に関する業務で、
WordPressの管理画面にアクセスすることがよくあります。
WordPressといえば、webサイトを作成する一般的なCMS(コンテンツ管理システム)の1つで、
Web関連技術が無い人でもサイト管理や記事投稿ができるので、
とても多くの方が使われています。
それゆえに、いろいろな外部からの攻撃も受けやすいという面もあります。
対策として、常にシステムをアップデートし最新の状態に維持することはもちろんですが、
意外と盲点になっているのが管理画面のURLに関すること。
ご存知かと思いますが、
WordPressの管理画面へのログインは、初期設定で下記のどちらかになっています。
・http://ドメイン/wp-admin
・http://ドメイン/wp-login.php
ということは、
デフォルトのままになっていると、
どのサイトでも、サイトのURLの後ろに「wp-admin」、「wp-login.php」を入れると、
誰でも管理画面にたどり着けるということ。
「でも、IDとパスワードがわからないから大丈夫でしょ?」
と思われるかもしれませんが、
意外と想像できるIDやパスワードで設定されているケースも多く、
また、「ブルートフォースアタック(総当たり攻撃)」を受けると、
ログインできてしまう可能性もあります。
万が一、管理画面を乗っ取られると、
Webサイトの改ざんや、記事の削除もできますし、
個人情報の漏洩のリスクもあります。
少しでもリスクを低減させるために、
意識の高いシステム管理者がいらっしゃる組織では、
WordPressの管理画面のデフォルトURLを変更しています。
もし、みなさんのWebサイトの管理画面のURLが、
デフォルトのままになっているようでしたら、
すぐに変更してくださいね!