NeGiMeMo.net

ねぎさんのメモ帳。日常・メモ・ときどきWordPress。

WPユーザーは真面目に不正アクセス対策やったほうがいいっぽいよ。ホント。

bell賞味期限切れコンテンツ

この記事は公開または最終更新から1201日くらい経過しています。
このメッセージが表示されている記事(特にプログラミング系)は情報が古くなっている可能性があるので注意して下さい。

ここ最近WordPressに不正ログインしようとする問題がよく話題になり、対策方法なんかも紹介されていますが、真面目に「うちは平気だ」なんて思わないでちゃんと対策したほうがいいかもしれませんよ?的なお話です。

弱小ブログだって狙われてるよ!

このブログはつい最近までは1日5PVとか、酷い時は0みたいな本当にしょーもないブログでした。最近はようやく1日700くらいまでは増えましたがそれでもまだまだしょぼいブログです。

なので、ウチみたいな雑魚いブログなんてきっと狙われないよな!なんておもってた時期もありました。[*1]

ですが、クライアントワークなんかでは一応その辺の対策もちゃんとやっとかないとマズイよなと思い、使い方を覚える意味も込めてLimit Login Attemptsを先日インストールしたのです。

で、実際仕事でも使う機会があったので自分のところの設定を参考にしようと久々に設定画面開けたんですよね。

このプラグインは、lockout(締め出し)したログを記録してくれていて、最後にカウンターをリセットしてから何回不正ログインをブロックしたかが分かるようになっているのですが、

limitloginattemps_log1

 

驚いたことに、このブログにも122回もログインしようとした形跡がありました。インストールしたのは割と最近ですので、多分1ヶ月と経ってないと思います。

また、このプラグインは回数だけじゃなくて、どのIPが、どのIDでログインを試みたかまで確認することができますのでそれを見てみます。

negimemo 54
admin 28
administrator 23

やはり「admin」や「administrator」は人気ですねw

他にも「Admin」や「Administrator」など大文字小文字の差はありますが、これらが多いです。

ですがそれ以上に多かったのが「negimemo」でした。

おそらくこれはサイト名というよりはドメインからとっているのではないかと思われますが、最近はブルートフォースアタック(総当たり攻撃)が増えてきてることからadmin以外を設定するひとが増えてきている中で、admin以外でぱっと思いつきそうな文字列ということで試されているのかもしれません。

この他にも、Authorの値を使うなどとも言われています。

で、そうなってくると、

クライアントワークなんかではサービス名=ドメイン名=お客さん用のマスターアカウント

なんてこともままありますので、お客さんのアカウントを作る時はユーザーIDに特に気をつけたほうがよさそうですね。

みんなちゃんと対策しましょう

これで有名ドコロ以外でもブルートフォースアタックの対象になりかねないということがよーくわかったので、みんなちゃんと対策しておきましょう!

ということで、今すぐできる対策を紹介します。

  1. admin、administratorといったIDの人やドメイン名、サービス名をそのままIDにしている人はすぐにでもIDを変更する
  2. パスワードも強固なものに変更しておく(あと、パスワードは定期的に変更しましょう)
  3. 一定数ログインに失敗したらログイン出来なくするプラグインを導入する

では、実際に具体的なやり方をみていきます

1.admin、administratorといったIDの人やドメイン名、サービス名をそのままIDにしている人はすぐにでもIDを変更する

これについては以前記事を書きましたので詳しくはそちらをご覧ください。特にプラグインなどは不要です。

WordPressで「admin」を使ってる方は要注意 | NeGiMeMo.net

簡単に説明すると、

  1. 新しいIDで管理者アカウントを作成
  2. 新しいアカウントでログインし直して古いアカウントを削除
  3. 古いアカウントで作った投稿を誰に割り当てるか聞かれるので今作成したアカウントに割り当てる

という感じです。

2.パスワードも強固なものに変更しておく

これもプラグインなどは不要です。

  1. 管理パネルから「ユーザー」→「あなたのプロフィール」をクリックします。
  2. 開いたページの下の方に「新しいパスワード」という項目があるので新しいパスワードを入力します。(2回入力します)
  3. 変更を保存したら一度ログアウトして、ログインしなおせばOKです。

パスワードは生成できるサイトがいくつかありますのでそれらを使ってもいいとおもいます。

手癖になっているパスワードをなるべく変えたくない場合は、「手癖はそのまま、キーボードの指を置くポジションをずらして入力する」というテクニックもあるそうですよ。

3.一定数ログインに失敗したらログイン出来なくするプラグインを導入する

前回IDを変更する記事を書いた時は Login Lock Downというプラグインを紹介しましたが、今回は、自分も導入したLimit Login Attemptsで説明します。

Login Lock Down も Limit Login Attempts も、一定回数ログインに失敗するとログインできなくなるプラグインです。

というかこれは、本体の機能として是非取り込んでほしいくらいですね。

では、早速インストールしていきます。

まずは、プラグインディレクトリからダウンロードするか、管理画面の「プラグイン」より検索して新規インストールしましょう。

インストールすると、「設定」のなかに Limit Login Attemptsという項目が増えますのでそれをクリックします。

上から順に設定していきます。

Lockout

[__]allowed retries  設定した回数までリトライを許可します。
[__]minutes lockout  ↑で指定した回数ログインに失敗したら、ここで指定した時間(分)だけログインできなくなります(ロックされます)
[__]lockouts increase lockout time to[__]hours 設定した回数ロックされると、更にここで設定した時間(時)ロックされます

Site connection

接続方法を選択するようです。よくわからないならそのままで大丈夫だと思います。自分もデフォルトのままです。

Handle cookie login

cookieに残っている情報からログインを許可するかどうかの設定です。
Noにすると多分自動ログインとかができなくなるんじゃないかなと思うのですが試してません。

Notify on lockout

Log IP チェックを入れると、ロックされたIPと、その時使われたIDが記録されるようになります。
Email to admin after[__]lockouts 指定回数以上ロックされた場合、管理者のメールアドレス宛に通知が飛ぶようになります。

ということで、ひと通り設定しおわったら、保存しておしまいです。

しばらくたってからまたこのページを開いてみると、結構ログが残ってたりして驚くかもしれません。

しかし、これで安心せず、定期的にパスワードは見直すようにしましょう。

TAGS