WordPress等CMSの不正アクセス・改ざんにご注意ください

2013年8月31日

平素より、弊社サービスをご利用いただき誠にありがとうございます。

昨今、WordPressやMovable Type、XOOPS 等のCMSにおいて、ブルートフォースアタック等による管理画面への不正アクセスや改ざんの被害が増えてきております。

2013年8月31日現在、当社サーバーでの被害の報告はございませんが、今後も不正アクセス、不正ログイン、改ざんなどを防ぐため、下記の点についてご確認をお願い致します。

• 管理ユーザ名は「admin」「administrator」「manager」以外に変更する
  • 初期状態のユーザ名や推測しやすいユーザ名を使用せず、他者から推測されにくい文字列を設定してください。
• 管理パスワードは8文字以上で、意味のない文字列の羅列にする
  • 単語の組み合わせやユーザ名と同じ文字列を含んだパスワードは危険です。記号や数字を含め、推測されにくい文字列を設定してください。
• CMSや関連するプラグイン等のバージョンを最新のものにする
  • 脆弱性の残ったまま利用していると、そこから不正に侵入される恐れがあります。更新内容を定期的にご確認ください。※1
  • プラグインやテーマには、脆弱性が残っているもの、不正なプログラムが仕込まれているものもあります。それぞれ最低限の利用に留め、インストールされているものについても定期的に更新を確認してください。
• 管理パネルへのアクセスをIP制限で保護する
  • インターネットへの接続が固定IPの場合※2、管理パネルへのアクセスを接続元のIPアドレスで制限することでセキュリティを高めることができます。
  • 保護したいディレクトリ（WordPressの場合wp-admin以下）に、下記内容の.htaccessをおいてください。（xxx.xxx.xxx.xxxは設定したいIPアドレスに置き換えてください）
    -----
    order deny,allow
    deny from all
    allow from xxx.xxx.xxx.xxx
    -----

※1 弊社サーバーでPHP5.2系をお使いのお客様は、WordPress最新版がお使いいただけないため、PHP5.3系のご利用をお申込みください。
CMSのアップデート作業が難しい場合、代行作業（有料）も行っております。

※2 弊社のインターネット接続サービスでは、固定IPアドレスをご利用いただるプランがございます。ぜひご検討ください。
https://www.jet.ne.jp/

なお、不正アクセスや改ざんがなされている事象が弊社にて確認できました場合、他のお客様への影響を考慮し、緊急措置として該当のコンテンツを停止させていただく場合がございます。予めご了承くださいますようお願いいたします。

今後とも弊社サービスを何卒よろしくお願いいたします。

ページ上部へ