こんにちは。WordPressを10年以上使用しているウェブエンジニアのアメンボです。私がWordPressを使い始めたころは、そこまで広く普及していませんでしたが、最近では一般的な企業サイト含め、非常に多くのサイトでWordPressが使用されるようになりました。
それに伴い、マルウェア感染も増えてきています。様々なところで、マルウェア対策について聴くのですが、それでも全く対策されていないケースもあります。
特に注意してほしいのは、ログイン情報が非常にシンプルなケースです。
adminはデフォルトでユーザ名として登録されている場合があり、パスワードがシンプルだとあっという間に不正ログインされてしまいます。
どこからそのようなものが流出しているのかはわかりませんが、WordPressのログインをブルートフォース攻撃で突破するマルウェアが非常に多いです。サイトアクセスが非常に少ない場合は例外としても、一定程度アクセスのあるサイトであれば、攻撃のリスクに常にさらされています。
そのため、最低限のルールとして、ユーザ名にはadmin以外のものを使用する、パスワードは脆弱なものを使用しないのは徹底する必要があります。
それに加えてセキュリティプラグインをインストールすることで、リスクを減らすことができます。
セキュリティプラグインは複数ありますが、一つインストールすれば十分です。まれにセキュリティ対策を強化するためのつもりか、複数のセキュリティプラグインをインストールされているケースが見られますが、複数インストールした場合、設定が競合してしまう場合もあるので、注意しましょう。
