Wordpreeへの不正ログインの攻撃対策

カスタマイズ, WordPress, プラグイン 

先週の火曜日くらいから不正にログインしようとする方々がいらっしゃいました。
そんなわけで、ちょびっと対策したらようやくおさまりました。

まず、今回の対策も含めて、現在までのセキュリティ対策は、以下のとおりです。
不正ログイン等に気づいたときの様子は、対策を紹介したあとに記載しています。

.htaccessによるIPアドレス制限

いろいろなセキュリティ対策方法を巡っていると必ず、でてくるのがIPアドレス制限。
.htaccessで、wp-login.phpと /wp-admin/にアクセスするIPアドレスを制限してしまいます。

.htaccessの設定方法は、以下のサイトをご覧ください

WordPressの管理画面に制限をかける(ver3.5.1)

気をつけないといけないのは、無線ルーターなどで、IPアドレスが変動する場合があります。
なので、もし、アクセスできなくなったら、.htaccessを書き直す必要があります。

他にも、日本国内に配布されているIPアドレスのみ制限するなどなどあるようです。

国内IPに制限する方法は、以下のサイトをご覧ください

アクセスできるIPアドレスを国内のものだけに制限する方法

Author(著作者)とログインIDを切り分ける

ゼロからWordpressのテーマを作成していなければ、基本的にheaderに「Author(著作者)」が組み込まれます。
おそらくログインIDがそのまま挿入されてしまう仕様になっているようです

これらをそれぞれ分離させるためにEdit Author Slugプラグインを使います。

Authorの変更の仕方は以下のサイトをご覧ください

Edit Author Slugプラグインの使い方

Jetpack

JetPackをインストールしている何千何百万というWordpressからの統計から、不正IPを割り出し防御してくれる「プロテクト」機能を有効にします。
jetPackをインストールして、「プロテクト」をOnにするだけです。

Akismist

スパムコメントから守ってくれるプラグインです。Wordpressをインストールしたら必ず入れるべきプラグインのようです。

Authorの変更の仕方は以下のサイトをご覧ください

Whoops! It looks like you forgot to specify an icon.Akismetの設定方法

SiteGuard

ロリポップから簡単インストールすると、標準で追加されるセキュリティプラグイン。日本製です。

SiteGuardの設定は以下のサイトをご覧ください

Whoops! It looks like you forgot to specify an icon.今年も猛威をふるうWordPress攻撃。初心者ならまずプラグインでセキュリティ対策『SiteGuard WP Plugin』

ロリポップWAF設定

ロリポップでは、WAF設定(不正なアクセスを防ぎますよ機能)が実装されています。ただ、それをしても防ぎきれなかったですが・・・・。まぁ、SiteGuradも推奨してるくらいだし。

ただ、ロリポップのWAFをONにすると、めんどくさいことが起きます。
それは、テーマの編集ができなくなることです。
テーマ修正に関するフォルダにアクセス制限がかかっているからです。そういや、Piwigoをインストールした時でも起きていました。

昔、ロリポップに問い合わせしたら、そういう場合は、WAFを一時的に無効にしてから作業してくださいと・・・・。めんどいけど、不正編集とかされずにすむと思えばいいか・・・と割り切りました。

さて、どうして不正ログインに気づいたかをこれから書きます。

どうして気づいたか

Akismetプラグインを入れているのですが、火曜日くらいからどんどんカウントアップされていることに気づきました。

ブロックされた悪意あるログイン試行

この画像は、現時点でのカウントで、先週火曜日時点では、2060程度でした。2060もworpdressをインストールして1日くらいでアタックをくらっていました。そのときも、不正ログイン対策を行ったつもりなのですが・・・・。

不正ログインとは

まず、不正ログインとは、なんぞや。簡単にいうと、勝手にオートロックを解除して、土足で人の家に上がりこみ、部屋の模様替えを勝手にするようなもの

気になったのは、見に覚えのある単語でログインをしている。

不正ログインは、ランダムなIP、PWをlogin画面にガンガンぶち込んでくるものと思っていました。他にも、プログラム的にログイン画面にログインをしかけようとしているものもあるとは思いますが・・・。

SiteGuarfのログイン履歴を観ていると、私の名前でログインしようとしていました。(WPのログイン名は、まったく違います!!)

なぜ、知っているのかと疑問に思っていましたが、心あたりが1つ。

それは、metafileに記載されるAuthorと全く一緒。

これか!!

Edit Author Slugで、ログインIDと著作者表示を別々にしていたので、相手は、まったく無意味は、Authorを使ってがんばっていたようです。

Googleさんでは、Authorを見れるようにしろといわれているから、見れるようにしたらこのザマです。

ようやくおさまったようだけど・・・・・

4日くらい、ひたすら不正なログインを1時間に4回程度されていましたが、ようやくピタっととまりました。

しばらくは、様子見かな・・・。

ただ、これ以上の対策はBasic認証,SSLなどしないといけなくなるようです。

めんどくさい。

本当は、プレフィックスを変えておけば、強固になっていたのだろうけど、設定を間違って公開。今からやると、データベースにもアクセスしなければならないため、すごく不安なため却下。

プレフィックスに関しては、以下のサイトをご覧ください

Whoops! It looks like you forgot to specify an icon.プレフィックス(prefix)とは?WordPressのテーブル名(プレフィックス)を変更する3つの手順

Sponsored Link

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA