Web制作・ソフトウェアー設計・ネットワーク構築・ドローン撮影は福島市のドリームズカンパニー


WordPressからパスワードリセットのメール!?

2017年05月07日

皆さんこんにちは、システムエンジニアの鈴木です。
最近お客様から、Wordpressよりパスワードリセットのメールが来るようになったのですが、これは何でしょうか?

—メール本文———————————
だれかが次のアカウントのパスワードリセットをリクエストしました:

http://xxxxxxxxxx.com/

ユーザー名: xxxxxxxxxx

もしこれが間違いだった場合は、このメールを無視すれば何も起こりません。

パスワードをリセットするには、以下へアクセスしてください。
http://xxxxxxxxxx.com/wp-login.php?action=rp&key=xxxxxxxxxx&login=xxxxxxxxxx
———————————————-

これは、Wordpressのログイン画面でパスワードを忘れてしまったときに使う手段で、あらかじめ登録されているメールアドレスへパスワードをリセットをする操作をお願いするメールです。 メールの中にはURLが記載されていて、ここでパスワードのリセットをかける事ができるのですが…

最近、パスワードを盗む手口が多く発生していますので、このようなメールにも注意が必要です。
パスワードは従来のログイン画面からパスワードの変更が最も良い方法とされます。

なぜこのようなメールが来るのでしょうか?
おそらく悪意のあるものがアカウント(ID)を何らかの方法で入手して管理ログイン画面から、「パスワードをお忘れですか ?」というリンクを選択し、ユーザー名を入力し送信すると このようなメッセージのメールが届く仕組みです。

実は、Wordpressで管理されているユーザー名は ちょっと知識があれば誰でも簡単に入手する事が可能なため、ユーザーIDはただ漏れに近い状態だと考えてもらえれば結構です。 となると最後の砦はパスワードです。

パスワードは数字のみや連続したアルファベット、身近に使われているキーワードや自分だと推測されやすいものを使用する事は厳禁です。
大文字小文字を混在した英字を使うこと、数字を混在させる事、また、記号#$%&~_などの混在でもより強固なパスワードが作れます。
Wordpreddではパスワード変更でパスワードが強固なものなのかを判定してくれますよ。

さて、本題に戻りましょう。
では、パスワードリセットのメールが届いたらどのようにすればよいのでしょうか?
ご自身で身に覚えの無いリセット要求であれば、完全に無視して構いません。
むやみにURLをクリックする事はやめましょう。万が一このメールが偽メールであった場合、たちまち偽サイトに誘導され、パスワードを盗み取られてしまうかもしれません。
ご自分のホームページからの案内だと過信しないで、ログインをしてパスワードの変更をいたしましょう。
また、頻繁にこのようなメールが来る場合には完全な嫌がらせの可能性がありますので、管理者様までご相談ください。

ホームページ制作・システムプログラム開発・サーバー構築は 株式会社ドリームズカンパニー
Copyright(c) 2006-2018 dreams company corporation All Rights Reserved.