こんにちは、つぐみです。
今さらですが、ワードプレスのセキュリティ対策について、備忘録を兼ねて書きました。
私は、知人からセキュリティ対策に関して助言をもらっていたのですが、ついつい面倒くさくて後回ししていました。
でも最近、友達の独自ドメインサイトがある被害にあってしまったという話を聞き、さすがに私も危機感を持ったんです。
そして、ようやくSiteGuard WP Pluginを有効化しました。
というか、デフォルトでインストールされているということを、その時、初めて認識しました。(少し前は違いましたかね??)
↓SiteGuard WP Pluginに関して、参考にした記事

主な変更点
ログイン画面
というわけで、ログイン画面に画像認証(ひらがな入力)が加わりました。
※ちなみにですが、セキュリティ対策を怠っていた私でも、ユーザー名を「admin」、パスワードを「password」・・・なんてことは、さすがにしていません。
コメント入力欄
↑あわせて、コメント入力欄にも、画像認証が追加されました。
ログインページURL
そして、ログインページURLも、
http://ブログのURL/wp-login.php
から↓
http://ブログのURL/login_○○○○○/
に変更されました。(とりあえず、○○○○○には自動で乱数が設定されますが、後で任意のアドレスに変更可能。)
ログイン履歴に残る不正アクセス
で、ようやく本題なんですが、想像以上に不正アクセスが多くてビックリしました。
全部調べたわけではありませんが、噂通り、海外IPからのアクセスでした。
xmlrpcへの攻撃がメイン
プラグインでログインURLが変更されたおかげか、メインブログに関しては、ログインページへの不正アクセスは履歴に残っていませんでした。
全て、XMLRPCへの不正アクセス(DDoS攻撃?)でした。
(でも、このブログ「主婦リエイト」には、ログインページへの不正アクセスも少しだけありました。なので、ログインページURLも、自動設定された乱数から別のものに変更しました。)
※以下、赤字部分 2016/12/11に追記
ログインページURLを変更したところで、結局バレるということを、以下の記事で知りました。

この記事の通り、併せて「管理ページアクセス制限」をONにして、しばらく様子をみます。結局は、IPアクセス制限の設定をするのが一番安心なのかと思いました。
ユーザー名(ログイン名)のパターン
で、不正アクセスを見ていくと、ユーザー名(SiteGuard WP Pluginではログイン名)のパターンが以下の3つになっていることに気が付きました。
- admin
- 独自ドメイン名(このブログだったらshufuliate.net)
- ほぼ正しいユーザー名
問題は3です。
見知らぬIPから、ほぼ正しいユーザー名での、しつこいアクセス履歴(ログイン失敗の履歴ですが)があったので、ビックリしました。
「ほぼ正しい」と書いた理由ですが、私は、ワードプレスのユーザー名に一部記号を織り交ぜており、その記号部分だけが異なっている状態だったのです。
正しいユーザー名はバレる?
ということで、ユーザー名の記号以外の英数字は合っていたので、これはどこからかバレる仕組みになっているんだろうなぁ・・・と思って調べてみると、やっぱりそうでした。
知らなかった・・・。
/?author=1 どころか、投稿記事内のユーザー名にマウスオーバーする、というのさえ知らなかった私。

↑これらの記事を参考に、とりあえずEdit Author Slugとうプラグインを入れて設定しました。
でも、その後、以下の記事を見つけ、最初に設定するユーザー名を工夫すれば、上記のプラグインは不要だということが分かりました。

ついでに、これを読んで、「3.ほぼ正しいユーザー名」の謎(ログイン名に含まれる記号部分だけが異なっている状態の謎)も解けました。
知らなかった・・・。
他の対策
パシさんも以下の記事で書いているように、
.htaccessで制限する方法 とやらを講じたほうがいいのかな、と思っています。
しかし
「.htaccessをサーバーからダウンロードして、うんちゃらかんちゃら・・・」
というところが、これまた私には敷居が高く感じてしまい、お得意の先延ばしをしております。あ、これ、12月の目標に追加しておくべき??
All In One WP Security & Firewallとか、iThemes Securityとか、色々紹介されていますけど、拒絶反応がおきて、とてもじゃないけど情報の取捨選択ができません。
そんな状況なので、もし、「このプラグインも入れておいた方がいいよ」とか「このセキュリティ対策、大丈夫?」みたいなことに気付いた方は、教えていただけると嬉しいです。
コメント