ちょっと煽り系のタイトルを付けてみました。
特にWordPress関連の情報を探していると良く見かけるのは「セキュリティ対策でログインページのURLを変えておこう!」っていう情報です。でも、私は以前から否定的な見解を示しています。
何故かと言うと、ログインページを突破して侵入し改竄する事例は殆ど見られないからです。攻撃自体はあります。弊社で管理しているサイトにはCrazyBone(狂骨)というプラグインを入れていて、ログイン試行の記録を全て取っています。それを見ると確かに日に何十件もログイン試行をされていることが判ります。
でも、実際に突破されることはありませんし、どんなユーザー名やパスワードで試行したのか記録が残るので調べてみると、大多数がユーザー名が広く知られているもので、パスワードは安易なものという組み合わせだったりします。という事は、ユーザー名を広く知られていないものにし、パスワードは充分に複雑なものにすれば安全とも言えるわけです。
また、WordPressは外部から登録されているユーザー名を知ることが出来ますが、これもプラグインで回避することが可能です。弊社管理のサイトでは「Edit Author Slug」というプラグインを使って外部に出るユーザー名を改竄しています。そうすれば、ユーザー名を的中させることも困難になるので正規のルートから侵入することは事実上不可能になります。
実際に、CMSを使っているサイトの改竄事例を調べてみると、その殆どがCMS本体、もしくは、プラグイン等の脆弱性を突かれて改竄されている事が判っています。正面突破での改竄という事例は極めて少数と言っても良いでしょう。
なので、変に「ログインページのURLを変えたから安全」と思われることによって、適切なメンテナンスが行われずに改竄される方が怖いと考えています。
だって、「ソフトウェアは常に最新に」って言われるでしょ?
それはウェブサイトにも言える話なのです。そこを怠れば攻撃者の手によって簡単に侵入されますし、それによって改竄だけならまだしも、情報流出だって起こりえることを知っておく必要があるでしょう。
前号では「バージョン番号を隠す」というウェブ制作業界の無意味なTipsを紹介しましたが、今回の「ログインページのURLを変える」もウェブ制作業界の無意味なTipsの一つなのです。