プログラムが勝手に動いて、入口のカギ(ログイン情報)が簡単に攻略できるところを見つけたら、簡単に乗っ取られてしまいます。
悪意を持った誰かが作ったプログラム(ボット)が、インターネット上にはうようよしています。
最近の攻撃は「狙われる」より「見つかる」に近いです。ボットが脆弱性のあるWordPressやプラグインを自動で探し、当たれば侵入する。サイト規模は関係ありません。
「ログイン画面がある」「フォームがある」だけで、対象です。
ログイン画面のURL、簡単に推測できるものになっていませんか。
サイトを作った当初のままになっていたりしませんか。
"Contact.php"なんて、ここに入口がありますよと教えているようなものです。
実体験ですが、ログイン情報を入力するページのURLを変えるだけでも、効果はあります。
簡単なおすすめ対策
外国産のボットは基本的に日本語入力ができませんので、「日本語」を活用しましょう。
- URLをcontactではなく、toiawaseにしてみる
- ログイン画面に「ひらがな」入力を必須にする
ワードプレスのプラグイン紹介
SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
詳しい使い方はこちらで紹介されていますので参考にしてみてください。
https://www.kagoya.jp/howto/rentalserver/wppractice/wordpress_siteguard-wp-plugin/
読んでも難しかったら
お気軽にお問い合わせください。
これを見たら実感すると思いますが、リンクのURLは基本的に手入力しないので「Contact」にしなくていいんです。
ただ、怪しい記号だとリンク先が連想できないと怖くてクリックできないので、ローマ字がいい落としどころなんじゃないかなと思います。
あなたがボットの被害にあわないことを願っています。