Disque Guide

改ざんはされなくてもDDOS攻撃の踏み台にされることが起こりえる。DDOS攻撃というのは所謂サイバーテロ。脆弱なサイトを乗っ取って、そこから発信されたようにして政府サイトや企業サイトにアクセスします。世界中には無数のコンピューターが有り、そのすべてが最新の対策がされたOSを運用しているわけでは無い。これまでは特に高等なことを望んでいるわけでは無いからと、古いOSを使い続けることはそういうサイバーテロに荷担することになりそうです。

このような書き出しとなったのは、昨日、7月15日にこのサイトにログインしようとしたらエラーが帰って来た。パスワードの記憶ミスでも無く、ログイン画面からやむなくパスワードの再発行を求めても「パスワード変更を通知しました」とメッセージが出ながらもログイン・ユーザーにもメールアドレスにも通知が来ない。これが所謂ニセのログイン画面か？おそらくニセのオーナーには通知が行っている？

サイトのサブドメインが「Review」だったのがいけなかったのか。成りすましのメールも、mail＠・・・であるとか、info＠・・・というのが狙われる。全くスパムもないサイトもあるのにしようのない世界だ。

さて、どうするか。４月に開設したものの、テスト運用、或いは下書き用でもあったので公開しているエントリーは二つ。これをコピーしてサイト自体を削除する方法はある。それを最終手段にして、先ずパスワードを変更しよう。Wordpressにはログインできなくても、サーバーからデータベースへ。

1. MySQLにログイン。作成したサイト（今回はこのサイト）のデータベースがあるホスト・サーバーを選びます。
2. USERNAMEはWordpressをインストールする時につけた名前。「_wp_・・・」と言うのがたいていでしょう。PASSWORDは、Wordpressをインストールした時に作成されたパスワード。
3. リストの中に「user_login」と「user_pass」それに「user_email」を見つけたら、パスワードを変更。ログイン名も変更しておくのがベストでしょう。ログイン名とEメールは平文で問題無いのですが、パスワードは暗号化されています。「ＭＤ５　変換」などと検索すると暗号変換サイトが見つかります。例えば「abc123」と入力して暗号化されたものは「e99a18c428cb38d5f260853678922e03」となります。
4. この「e99a18c428cb38d5f260853678922e03」を、上で説明したパスワードの部分「user_pass」の編集から暗号化したパスワードを入力して実行ボタンをクリック。これでパスワード変更が完了しました。
5. 再びワードプレスのログイン画面に戻って、今度はユーザー名を入力してからパスワードに「abc123」とします。これでログイン出来ます。今のままだとパスワードが簡単すぎるので、管理画面からもっと複雑なものに変更しておきましょう。

WordPressをインストールした時にメモしてなかった場合は、wp-config.phpにデータベースへのログイン名、パスワードがあります。これが改ざんされていたらアウトでしょうが、今回幸いWordpressのファイル自体には変更は無いよう。

ここが注意！なのですが、共用サーバーでWordPressを運用している場合、同じホスト・サーバーにある違うサイトと間違わないように！わたし、間違いました。何度パスワードを書き換えても反映しないのでデータベース自体の削除を考えたほどでした。もしかしてと思ってもう一方のサイトにログインしようとしたら、こちらを書き換えていました。・・・と、いうことはデータベースを即座に消さなくて良かった。その後は無事ログインできました。

今回ログインできなくなっていることに気がつけたのは、POSTEROUSと連動していたことから。「間違ったユーザー、間違ったパスワード」で投稿連動が反映されていないのでパスワード確認をし直そうとしたことによるおかげです。ログインできなくなっていた理由は分かりませんので、油断はならない。作ったサイトは目を配っておかないといけませんね。