突然wordpressから「新規ユーザーが登録されました」というメールが来ました。
そもそもユーザーを登録させるようなページを作ってないのに何で?と思いました。
実はwordpressは設定によって誰でも特定のURLを叩けば管理画面に入れるユーザーとして登録出来る機能があるんです。
不審な新規ユーザー登録が来る理由とその対処法を解説します。
(記事上部の画像はВиктория БородиноваによるPixabayからの画像)
突然のメール、そして管理画面を見ると
今日、「[プログラミング備忘録]新規ユーザー登録」というメールが来ました。
このブログ[プログラミング備忘録]のwordpressからのメールでした。
内容は
ユーザー名: kayorme4092
メールアドレス: blake@mashed.site
というものでした。
送信元を見ると「お問い合わせフォーム」からのものではありません。
あれ〜?ユーザー登録ページなんて作ってないのにな〜、おかしいな〜?と思いました。
そして管理画面 ユーザー → ユーザー一覧を見ると、
ショック!
kayorme4092というユーザーが登録されています。
ナンジャコリャ〜!
パスワードが破られてハッキングされたんか〜
無茶苦茶強いパスワードにしてあるのに。
プラグイ「CrazyBone」が入っているのでログイン履歴が見れます。
あれ、不正なログインはないぞ。
どうなってる?
wordpressのユーザー登録とは
この場合のユーザー登録とは「サロン」などで使われる特定のユーザーだけがサイトを閲覧出来るものとは違います。
管理画面にアクセス出来るユーザーを指します。
普通は管理画面 ユーザー → 新規登録からユーザー登録します。
つまり権限を持った「管理者」しか登録出来ないはずです。
パスワードが破られた?不正なユーザー登録の仕方
何が起きたか調べてみた。
結論はパスワードが破られたわけではなく特定のURLでアクセスすれば誰でもユーザー登録が出来る設定になっていたからでした。
管理画面 設定 → 一般設定で「メンバーシップ」という項目の「だれでもユーザー登録ができるようにする」にチェックが入っていると特定のURLでアクセスすれば誰でもユーザー登録が出来るのでした。
試しにやってみました。
いや〜、登録出来ちまうよ。やばいぜ。
ただ幸いなのはユーザー権限が「購読者」になっていたこと。
これも 設定 → 一般設定で「新規ユーザーのデフォルト権限グループ」の項目で設定出来る。
| 購読者 | Subscriber | WordPressにログインすることだけが出来る。 |
| 寄稿者 | Contributor | 記事の作成は出来る。公開は、編集者以上の権限グループのユーザーが行う。 |
| 投稿者 | Author | 記事の作成をして投稿(公開)が出来る。固定ページや他のユーザーが作った投稿の編集は出来ない。 |
| 編集者 | Editor | 投稿や固定ページ、カテゴリーなどを、他の人が作成した投稿・固定ページなどを編集することが出来る。テーマ・プラグイン・ユーザー・サイト設定は出来ない。 |
| 管理者 | Administrator | すべての権限を持ってすべての設定を行える。 |
ほとんどの場合「購読者」が設定されているはずです。
購読者は管理画面に入れますが操作出来るのは自分のプロフィールくらいです。
記事は投稿出来ませんし重要な設定をいじる事も出来ません。
今回の対処法
すでに書きましたが
という事でwordpressの機能が正常に働いただけです。
対処法は
●管理画面 設定 → 一般設定で「メンバーシップ」という項目の「だれでもユーザー登録ができるようにする」のチェックを外す。
●同じく一般設定で「新規ユーザーのデフォルト権限グループ」の項目が「購読者」になっているのを確認する。
●管理画面 設定 → ユーザー → ユーザー一覧
ここで不審なユーザーを削除します。
これだけでいいと思います。
ちなみに「だれでもユーザー登録ができるようにする」のチェックを外すと
これでアクセスしても
ユーザー登録は出来ません。
なぜ新規ユーザー登録する人がいるのか
なぜ新規ユーザー登録する人がいるのかと考えると
いたずら?としか思えませんね。
ハッキングしているわけではなく管理画面の設定を忘れているサイトを期待してひたすら
これでアクセスしているだけでしょうから。
「購読者」として管理画面に入られたからといってセキュリティ的にどんな問題があるのかはまた別の記事で書いていこうと思います。