WordPress 身に覚えのないパスワードリセットのメールには要注意！

2024.03.06 2024.03.06

WordPressから身に覚えのないパスワードリセットのメールが届いたら要注意です！

WordPress 身に覚えのないパスワードリセットのメールには要注意！

突然届いた下図のようなメール。当社のお客様のWebサイトで、筆者が管理者用アカウントとして登録しているものです。

Wordpressから身に覚えのないパスワードリセットのメールが届いた

これは、Wordpressでパスワードを忘れてしまったときに使う手段です。ログインアカウントへ登録されているメールアドレスへ、パスワードをリセット操作をWordPressへ依頼するというもの。メール中のURLにアクセスすることでパスワードリセットをおこなうことができます。

操作方法は、ログイン画面から「パスワードをお忘れですか？」のリンクをクリック。「ユーザー名またはメールアドレス」を入力して「新しいパスワードを取得」ボタンをクリックすればOK。

Wordpressパスワードリセット操作方法

だけど、まったく身に覚えのない。そもそも忘れるようなパスワード設定していないし、定期的にログインして運用しているわけだし。一体どういうこと？！

ここでは「WordPressから身に覚えのないパスワードリセットのメール」について解説します。

1 パスワードリセットのメールの内容
2 WordPressのユーザー名は簡単に入手できる
3 メールは無視すればOK
4 まとめ

パスワードリセットのメールの内容

まずはパスワードリセットのメール本文の内容を確認しておきましょう。

どなたかが次のアカウントのパスワードリセットをリクエストしました:

サイト名: 【運用しているサイト名】

ユーザー名: 【対象となったユーザー名】

もしこれが間違いだった場合は、このメールを無視すれば何も起こりません。

パスワードをリセットするには、以下へアクセスしてください。

https://example.com/wp-login.php?action=rp&key=zzzzzzzzzzzz&login=【対象となったユーザー名】&wp_lang=ja

パスワードリセットは IP アドレス 113.111.83.8 からリクエストされました。

ここで気になることが！

「パスワードリセットは IP アドレス 113.111.83.8 からリクエストされました。」

発信元のIP アドレスが書いてあるじゃん。ということで「113.111.83.8」について調べたところ、中国からのリクエストだということがわかりました。

WordPressのフォーラムでも、同じIPアドレスでメールを受けたという相談が載っていました。

Request to change my password

WordPressのユーザー名は簡単に入手できる

実は、WordPressのユーザー名は、知識があれば割と簡単に入手できてしまいます。これは、WordPress自体がユーザー名を隠すつもりがない仕様だから、といえます。

つまり今回の事象は、悪意のある中国人がWordPressのユーザー名を探り当て、パスワードリセットのリクエストをおこなったことによるものだったというわけです。

メールは無視すればOK

身に覚えのないパスワードリセットのメールであれば、完全無視でOKです。

間違ってもメールのリンクをクリックしないようにしましょう。万が一、偽メールあった場合、偽サイトに誘導されてパスワードを盗み取られてしまう可能性があります。

まとめ

WordPressから身に覚えのないパスワードリセットのメールについて解説しました。

昨今、パスワードを盗む手口が多発しています。できるだけ強力なパスワードへ変更することをおすすめします。

おつかれさまでした。