WordPressでサイトを管理していると頻繁に「新規ユーザー登録」というスパムのようなメールが来ます。
筆者はWordPressのテーマを変更した時に突然大量に来ました。
この対策として色々と紹介されていますが、どれをやってみても止まる事はありませんでした。
しかし、これをやったら止まったのでその方法をシェアしたいと思います。
目次
大量にくる新規登録ユーザー通知で最悪の場合
ある日突然メールに通知が来る。最初は読者さんが気に入ってくれて登録してくれたのかなと勘違いしてしまう。
しかし、ユーザーを確認してみると明らかにスパム的な名前でしかも「管理者」として登録されているというゾッとするような事態に。
WordPressprevent
ただのスパムメール的な事ならいいのですがこれらは管理者としてマウントされることが多いようです。
管理者として登録された場合、管理者権限として許されている行為を行使できる事になるので最悪すべての記事を消される事も考えられます。
こういった迷惑行為はハッカーが自動のプログラムを使い全てのワードプレス或いは特定のワードプレスを狙い撃ちしている事が多いです。
大抵は登録されてるだけで放置されるのが殆どでしょうが、その気になれば「乗っ取り」もできてしまう所が最大の注意点でしょう。
対処方法で一撃で止めるには
このしつこい新規ユーザー登録を止めるために色々な対策がありますが、効果な対策でもない限り延々と破って登録されるわけです。
結論から言うと、WordPressのパスワードを難しくすれば来なくなりましたという事です。
一撃で止めた対処方法
他の方法で色々試したのですが、まったく新規登録は止まず。
しかしWordPressへのログインパスワードの変更をしたら新規登録は止みました。
※短いパスワード変更では再び新規登録されてますので、20文字程度の記号入りの長いパスワードにして下さい。
WordPress管理画面で「ユーザー」「あなたのプロフィール」をクリック。
WordPress管理画面で「ユーザー」「あなたのプロフィール」
次に「新しいパスワード」にてパスワードを再設定。「プロフィール更新」を押して更新。
ここで注意してもらいたいのは安易なパスワードであると、その日のうちにまた新規ユーザーの登録が来てしまう点です。
おそらくハッカーはブルートフォースアタックという手法を使っていて、パスワードを手当たり次第に入力してログインを試します。
安易なパスワードの場合すぐにアタリがついてしまって登録を許してしまうというわけです。
コツとして英数字と記号などを盛り込むと難易度が飛躍的に上がりこういった攻撃を防ぐ事ができるようになります。
何度やってもダメだった対処方法
逆に何度やってもだめだった対処方法を紹介します。
いくつかの他のサイトではこの方法で防ぐ事ができたのですが、
ハッカーもパターンを見抜いていている為か全く通用しなかった方法もシェアして行きたいと思います。
ログインURLを変更する
プラグイン「SiteGuard」をインストールする。
SiteGuardにてログインページを変更する。これで1つのサイトは新規登録は止みました。
通常WordPressのログインURLは ~~/wp-login.phpがデフォルトになっていて、何も設定していなければハッカーからは入り口が丸見え状態になっています。そのURLを変える事ができる機能です。「変更後のログインページ名」にて任意のURLを入力。「オプション」にてリダイレクトをしないにチェックを入れれば更にいいでしょう。※リダイレクトとは、以前訪問したURLが変更になった時に、変更先に自動で移動するという引っ越しの「新住所届け出」のような機能です。
ログイン時にもう一つ入力項目を足す
こちらも「SiteGuard」の機能です。
ログイン時に画像の文字を入力を加えて安易にログインさせない方法です。
設定のやり方
SiteGuardの画像認証をクリック。
画像認証をONにする。
初期状態からONになっていると思いますが、変更を保存を押下すれば設定が有効になります。
デフォルトで「ひらがな」になっていますが、ここは何も変更せず「ひらがな」が有効かと思われます。
ハッカーは大多数が外国のメールである為、外国人がロボットを使っている可能性が大きい。
設定を変更すれば次回ログインからは下記の図のように、
ログイン情報にもう一つの項目が追加されます。
まとめ
一番有効なのは上記で紹介した全てを行う事なのです。
何度もログインする方であると、設定してしまった後簡単にログインする事ができなくなりますが乗っ取られるよりははるかに良いと思います。
