最近、アクセスログを見ていると、ブログのWordPressやデータベース管理ソフトphpMyAdminにアクセスしようとしている不正アクセスの痕跡が沢山見つかる。
WordPressの初期版は管理者IDが固定なので、実質パスワードしか暗証が効いていない。もっとも、ブログには投稿者IDが表示されることもあるので、かなり危ない。パスワードはできるだけ長いものにしておくのか安全だ。
phpMyAdminは破られると、データベースを使われてしまい、迷惑メール送信などの拠点に使われる可能性もある。特に古いバージョンでは、設定をファイルに格納して、パスワードの入力が不要となっている設定もある。
予防としては、最新のバージョンのものを使用することが肝心である。また、簡単にはアクセスできないように、ディレクトリ名を変え、アクセス制限を加える。httpsが使えるなら、必ず、httpsでログインすることも重要だ。
httpsは暗号化通信のホームページ閲覧通信方式だ。ショッピングサイトなど、「SSLで安心です」などと表示されている方式だ。第三者に対しては証明書を導入して、信頼を得る事が必要だが、自分のサイトなら費用を払って証明書を購入する必要はない。ほとんどのサーバーで使用できるはずなので、試してほしい。