SiteGuard WP Pluginを有効化したら、不正アクセスだらけでした・・・

こんにちは、つぐみです。

今さらですが、ワードプレスのセキュリティ対策について、備忘録を兼ねて書きました。

私は、知人からセキュリティ対策に関して助言をもらっていたのですが、ついつい面倒くさくて後回ししていました。

でも最近、友達の独自ドメインサイトがある被害にあってしまったという話を聞き、さすがに私も危機感を持ったんです。

そして、ようやくSiteGuard WP Pluginを有効化しました。

というか、デフォルトでインストールされているということを、その時、初めて認識しました。(少し前は違いましたかね??)

↓SiteGuard WP Pluginに関して、参考にした記事

SiteGuard WP Pluginの設定方法と使い方
最近のWordPressではブルートフォースアタック(総当り攻撃)などの被害が相次いでいる。 ログインページに…
WordPressへの不正ログインを防ぐプラグイン「SiteGuard WP Plugin」
最近、ブログが突然重くなることがあり、総当たり攻撃でも受けてるんじゃないかと感じるようになったので、WordPressのセキュリティ対策に取り組むことにしました。そこで、Wor...

主な変更点

ログイン画面

というわけで、ログイン画面に画像認証(ひらがな入力)が加わりました。

image030

※ちなみにですが、セキュリティ対策を怠っていた私でも、ユーザー名を「admin」、パスワードを「password」・・・なんてことは、さすがにしていません。

コメント入力欄

image031

↑あわせて、コメント入力欄にも、画像認証が追加されました。

ログインページURL

そして、ログインページURLも、

http://ブログのURL/wp-login.php

から↓

http://ブログのURL/login_○○○○○/

に変更されました。(とりあえず、○○○○○には自動で乱数が設定されますが、後で任意のアドレスに変更可能。)

ログイン履歴に残る不正アクセス

で、ようやく本題なんですが、想像以上に不正アクセスが多くてビックリしました。

全部調べたわけではありませんが、噂通り、海外IPからのアクセスでした。

xmlrpcへの攻撃がメイン

プラグインでログインURLが変更されたおかげか、メインブログに関しては、ログインページへの不正アクセスは履歴に残っていませんでした。

全て、XMLRPCへの不正アクセス(DDoS攻撃?)でした。

(でも、このブログ「主婦リエイト」には、ログインページへの不正アクセスも少しだけありました。なので、ログインページURLも、自動設定された乱数から別のものに変更しました。)

※以下、赤字部分 2016/12/11に追記

ログインページURLを変更したところで、結局バレるということを、以下の記事で知りました。

SiteGuard WP Pluginの留意点 - Qiita
WordPressのセキュリティ用プラグインのSiteGuard WP Pluginは - 「ログインを何度も失敗するユーザーに対してロックを掛ける」など主にログイン画面の機能強化用の複数の対策ができる (複数のプラグインを導入・運...

この記事の通り、併せて「管理ページアクセス制限」をONにして、しばらく様子をみます。結局は、IPアクセス制限の設定をするのが一番安心なのかと思いました。

ユーザー名(ログイン名)のパターン

で、不正アクセスを見ていくと、ユーザー名(SiteGuard WP Pluginではログイン名)のパターンが以下の3つになっていることに気が付きました。

  1. admin
  2. 独自ドメイン名(このブログだったらshufuliate.net)
  3. ほぼ正しいユーザー名

問題は3です。

見知らぬIPから、ほぼ正しいユーザー名での、しつこいアクセス履歴(ログイン失敗の履歴ですが)があったので、ビックリしました。

「ほぼ正しい」と書いた理由ですが、私は、ワードプレスのユーザー名に一部記号を織り交ぜており、その記号部分だけが異なっている状態だったのです。

正しいユーザー名はバレる?

ということで、ユーザー名の記号以外の英数字は合っていたので、これはどこからかバレる仕組みになっているんだろうなぁ・・・と思って調べてみると、やっぱりそうでした。

知らなかった・・・。

/?author=1 どころか、投稿記事内のユーザー名にマウスオーバーする、というのさえ知らなかった私。

WordPressのユーザー名はバレる!変更するだけではダメ!Edit Author Slugで対策だ!
WordPressは設定がそのままであれば、ログイン時のユーザー名(ログインID)が簡単にわかってしまうのでパスワードさえわかれば他人にログインされてしまいます。Edit Author Slugで対策を。
WordPressのユーザー設定とプラグインでセキュリティー対策
今回ようやくWordPressの設定に入っていきます。さて、WordPressの各種設定をしていく訳ですが、最初に設定すべきなのがユーザーの設定です。記事を書き始める前にこの設定をしておかないと自分の

↑これらの記事を参考に、とりあえずEdit Author Slugとうプラグインを入れて設定しました。

でも、その後、以下の記事を見つけ、最初に設定するユーザー名を工夫すれば、上記のプラグインは不要だということが分かりました。

wordpress:ユーザー名の付け方だけでログインのセキュリティをアップさせる
なにげに付けているwordpressのユーザー名ですが、ユーザー名の付け方を一工夫するだけでセキュリティが格段にアップします。その方法をご紹介します。

ついでに、これを読んで、「3.ほぼ正しいユーザー名」の謎(ログイン名に含まれる記号部分だけが異なっている状態の謎)も解けました。

知らなかった・・・。

他の対策

パシさんも以下の記事で書いているように、

WordPressのxmlrpc.phpに国外IPからDDoS攻撃を受けた時の対処法
エックスサーバーから当サイトが「DDoS攻撃」を受けているとのメールを貰いました。 3/14 14:29頃, お客様ご契約のサーバーアカウントにおいて、サーバーに対するCPU負荷が著しく高い状況...

.htaccessで制限する方法 とやらを講じたほうがいいのかな、と思っています。

しかし

「.htaccessをサーバーからダウンロードして、うんちゃらかんちゃら・・・」

というところが、これまた私には敷居が高く感じてしまい、お得意の先延ばしをしております。あ、これ、12月の目標に追加しておくべき??

All In One WP Security & Firewallとか、iThemes Securityとか、色々紹介されていますけど、拒絶反応がおきて、とてもじゃないけど情報の取捨選択ができません。

そんな状況なので、もし、「このプラグインも入れておいた方がいいよ」とか「このセキュリティ対策、大丈夫?」みたいなことに気付いた方は、教えていただけると嬉しいです。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする