いいなもっと.com > Webデザイン > WordPressサイトに勝手にユーザー登録されるのを防ぐ
2017
02/ 24

WordPressサイトに勝手にユーザー登録されるのを防ぐ

Webデザイン

大量のユーザー登録が発生

いや~、驚きました。一体何が起こったのでしょうか?これは私が運営している趣味のサイトなのですが、こちに1日で27件という大量のユーザー登録がされているのです。放っておくとまだまだ増えそうな勢いです。

しかもよく考えたらこのサイトにはもともとユーザー登録をする機能は付けていません。だって会員制のサイトとかではないですからね。登録の無いユーザーさんでも閲覧できますし、コメントだって入れてもらえます。なんとも不思議です。

ちょっと調べてみたら 『サイトURL/Wordpressのインストールフォルダ/wp-login.php?action=register』とすればユーザー登録が出来ることが分かりました。


2重でセキュリティが甘かった(;^ω^)

一つ目は WordPress のインストールフォルダが容易に想像できる名前だったんですね。いつもはへんちくりんな名前にして容易に想像できないようにしているのですが、このサイトは私の個人的な趣味サイトということで油断していました。早急に変なフォルダ名に変更しておきます。もちろんフォルダ名だけ変更しただけでは動かなくなるので御注意ください。

ユーザー登録を出来ないように設定

ユーザー登録の設定

何よりも肝心なのは、そもそもユーザー登録の必要が無いのに、ユーザー登録が出来るようになっていることです。WordPressはデフォルトでここにチェックが入っているので、外し忘れるとこんなことになっちゃいます(;^_^A
現在はデフォルトではオフになっています。安心してください。

今回は新規のユーザーが何の権限も無い「購読者」だったので大事には至らなかったのですが、これが管理者だったらと思うと背筋が寒くなりますね。


無事ブロックできました

ユーザー登録を禁止

試しにユーザー登録画面を出してみました。『現在、ユーザー登録は出来ません』と表示されました。やれやれです。

WordPressは世界中に膨大な数があり、一説では全世界の1/4ほどはWordpressで作られているとも言われています。それらがみな同じ仕様でできているのですから、素の状態で使っていれば簡単に侵入を許してしまう自体になりかねません。インストールフォルダを wordpress 、ユーザー名を user とか admin、パスワードを password なんかにしてた日にゃ、玄関の鍵を開けてるだけで無く、金庫のありかまで紙に書いてドアに貼っているようなものです。御注意くださいね。


 

タグ: ,

« »

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

-->