WPサイトを運営していると「どなたかがパスワードリセットをリクエストしました」というメールが届くことがあります。
ハッキングされた?
自分のサイトがハッキングされた!?と思って焦るわけですが、基本的にこのメールが送られてきただけではハッキングされたことにはなりません。
WPはメールアドレスやユーザー名でパスワードのリセットがリクエストできるため、「admin」や「info@ドメイン名」といった分かりやすい登録をしていると、誰でもパスワードリセットがリクエストできてしまうのです。
ただしメールに届いたURLをクリックしないとパスワード変更できないようになっているため、実際にはリクエストされたからと言って変更が実行されるわけではありません。
メールの内容
次のようなメールが突然届きます。
どなたかが次のアカウントのパスワードリセットをリクエストしました: サイト名: example.com ユーザー名: xxxxxxxx もしこれが間違いだった場合は、このメールを無視すれば何も起こりません。 パスワードをリセットするには、以下へアクセスしてください。 https://example.com/wp-login.php?action=rp&key=XXXXXXXXX&login=admin&wp_lang=ja パスワードリセットは IP アドレス 000.000.000.000 からリクエストされました。
パスワードリセットの対策は?
気持ち良いものではないため下記のような対策を取ることが重要です。
- ・管理画面にIP制限をかける
- ・ログイン画面のURLをデフォルトから変更する
- ・ユーザー名を推測しにくいものにする
EC-CUBEゴールドパートナー
