WordPressを本格的に利用し始めている方は注意したほうがいいですね。勝手にいじられたりするのは大変ですから、明確な目的がない限り、Wordpressのユーザー登録は拒否していたほうがいいですね。以下に対策を記します。簡単なチェックですけど。
先ほど、メールを確認していたら、勝手にWordpress(このブログ)の新規ユーザー登録をされていました。新規登録ユーザーの初期権限は「購読者」なので、サイトを乗っ取られることはありませんが、気持ち悪く感じました。
原因は次の通りです。以前このブログでメルマガを発行していた時にWordpressのユーザー登録を可能にしていました。現在トラブルによってメルマガ発行は停止いしています。しかしユーザー登録を可能のままにしていました。確かに運営者である自分のミスなのですが、Wordpress本体が設置してあるディレクトリを探してちゃっかり登録してしまうスパマーさんたちがいるそうです。
対策
WordPressのサイト乗っ取りに対する今回講じた対策を以下に記します。以下は「設定」の「一般」の画面です。
1.新規ユーザー登録を不能にする。
「メンバーシップ」の「だれでもユーザー登録ができるようにする」にチェックを入れていたので、登録URLを発見されて、ユーザー登録されたわけですね。これを外しておく必要があります。
2.新規ユーザーデフォルト権限グループ
①を外しておけば問題ないのですが、万が一のことを考えて、「購読者」に設定しておきます。ここをうっかり「管理者」としていおくと大変なことになります。
3.Wordpressのアドレス
登録URLを発見されないために、Wordpress設置URLを複雑なものに変更しておく必要があります。すぐにはできないので後日改めて設定しなおしたいと思います。
以上Wordpressセキュリティーをいっそう堅牢にするための対策でした。Wordpress運営者たちにとっては常識中の常識だけど。
コメント
はじめまして。ワードプレス初心者です。一週間前にワードプレスをはじめました。このようなメールがきて、どのように対応していいかわからず、検索して、こちらを知りました。あわてて、2と3を設定をし直しました。 ありがとうございます。
・アドレスは、変更したほうがいいでしょうか?
・メールは無視して、「迷惑 拒否」にしたほうがいいでしようか?
ワードプレスに関しては、まだ、準備中の段階です。
よろしくお願いいたします。
コメントありがとうございます。
アドレス変更はともかく、メールは「迷惑 拒否」にしたほうがいいかもしれませんね。
ブログを公開していないのに、登録すること自体、スパムではないでしょうか?