Skip to content

Categories:

WPの不正アクセスを考える

■WordPress File Monitor

WP内のファイルに何かしら変更があった場合に、メールでアラートを上げてくれるプラグイン
1時間毎~1日後で設定をし、ディレクトリ内を監視するようです。
 
試しに、適当なファイルをアップしたり、ソースをイジッてからアップするとしばらくしたあとに
メールで知らせてくれます。
 
これは便利。実際これを導入してから攻撃を受けていないのでなんとも言えませんが
これで改竄とかにあってもすぐ対応出来るのではないかと期待しています。
 
 
■Limit Login Attemptsでログイン制限
MTにはデフォルトで、期間中に何度もログイン失敗をするとロックする機能が付いているのですが
WPには付いていません。なので、総当り攻撃にはかなり弱いという事になります。
 
過去に攻撃を受けたサイトのログを見ると
ひたすらよく分からないIPから何千回もアクセスされ、そのうちに破られてしまいました。
その後、バックドアファイルをプラグインフォルダに設置されてしまい改竄されたという経験があります。
WPの管理画面はデフォルトだと簡単にアクセス出来てしまいます。
 
 
このプラグインでは、ログインにインターバルをもたせる事が出来ます。
 
・~回ログインに失敗したら~分同じIPからのログインをロック
・~回ロックしたら24時間同じIPからのアクセスを遮断
 
といった事が出来ます。
 
ロックしたIPのログ等も残りますので、その後の対策等にも有効かと思います。
 
 
■パスワードを12文字
半角大小英数記号を交えた12桁パスワードなら、現在の技術では総当りでは
30万年以上かかるようです。いろんな防衛方法がありますが、まずはコレですね。
 
■adminを使わない
これはもうどこでも言われていますね。
ただWPは最初のユーザーがデフォルトでこれになっています。
IDとパスワードの半分がもうわかっている状態なので、これは非常に危険です。
 
実際、上記のログイン履歴で見るとよく分からないIPはこの「admin」をユーザー名にし、パスワードに総当りをかけてきます。
 
上記の12桁パスとセットで変更することで、確率を下げられると思います。
 
 
■wp-adminディレクトリ、wp-login.phpにベーシック認証
上記のログイン制限にBasic認証を設置します。
ログインにアクセスする前にBasic認証が立ち上がり、2重ロックになります。
これをする前は、上記ログイン履歴で結構な頻度で、よく分からないIPが
リミットにてロックされていたのですが
 
これを導入することで、ロック自体もあまり見かけなくなりました。
.htaccessが設置出来るサーバーなら絶対に行いたい所です。
 
うちの過去の案件はGMOのInfinitoPLUSを使っていたのですが
ここはIIS6です。よってhtaccessによるベーシック認証は行えないのですが
htaccessiisというファイルでベーシック認証を設置する事が出来ます。
 
 
 
 
 
認証はディレクトリ単位だけで、ファイルで個別に掛けられません。
上記PDFにはファイル単位で掛けられるような記述があるのに!サポートにきいたら
対応していないとの事でした…じゃあ書くなよ!
 
なので、wp/内にあるwp-login.phpにだけ制限が掛けられず、不完全な物になってしまいます。
うーん…これに関してはもっと情報を仕入れないといけないなぁという感じです。
 
 
 
 
という感じで、WPセキュリティで、有用そうな物をまとめてみましたが…
これをやっとけば安心!!なんて事は無いのでしょうなぁ
 
 
プラグインもいくつか書きましたが、結局これもプラグイン自体が対応していない、もしくは
開発終了になってしまう可能性がある!というのも悩ましい部分です。
 
 
何かWPの事ばっか書いてるくせに、自分のブログは完全にその辺放置気味なのはあれですが。

Posted in web.


One Response

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

Continuing the Discussion

  1. WPの不正アクセスを考える | ZAKI-LABO : ちゅどん道中記 linked to this post on 2013 年 5 月 10 日

    [...] >>WPの不正アクセスを考える | ZAKI-LABO Author: スポンサードリンク [...]



Some HTML is OK

or, reply to this post via trackback.

*