本日、NPO法人府中アスレティックフットボールクラブの公式HPがイスラム国と思われる集団にジャックされた。これを受けサイトは一時的にイスラム国の旗のようなものが表示されたが現在は復旧。個人情報の流出は無かったと報じているが、今回のような事件はなぜ起こってしまったのだろうか、そこには簡単にログインできてしまうCMSに問題があるのかもしれない。
ーワードプレスは注意
さて今回の府中FCのサイトはソースを見ると一目瞭然だが、ワードプレス(WP)で構築されている。WPは世界で最も普及していると言っても良い無料のCMS(更新システム)ですが、反面普及しているだけにセキュリティホールも突っつかれやすい。
そのため頻繁なバージョンアップを重ねているが、根本的に初心者でもわかりやすい使い勝手であるがゆえ、初歩的なハッキング(だれでも判るようなログインページを用意する・パスワードを簡単にする等)に関してはノータッチだ。(各自管理する)
ーだれでも判るようなログイン画面はNG
例えばルート直に「wp-login.php」をおいているなどという情況であると、たとえ相手には見えなくとも、アドレスを打てばアクセスできてしまう。
さらに簡単にログインできるようなパスワード「admin/12345」などというアカウントがあるとするのであればそれはリスキーというよりあまりに無防備。ワードプレスを利用する以前の問題だ。
対策としては「wp-login.php」を別のディレクトリに置き、パスワードをもう少しセキュリティレベルを上げるなどしたほうが良いだろう。
今回、恐らくその対策が甘かったので簡単にハックできるサイトが選ばれてしまったおそれがある。と、エラそうに書いているが、平たく言えば「家にはしっかり鍵をかけろ」ということだ。
http://www.fuchu-athletic.com
(秒刊ライター:Take)
コメントを残す