WordPressへの攻撃は思っているよりすごかった

年末に弟のホームページをwordpressにて戯れに作っていました。プラグインたくさん入れるのが好きじゃないのと、仕事じゃないしってのもあって超絶無防備な状態で公開してました。

年明けにホームページの使い方を弟に説明していたのですが、投稿画面を見てみると見たこともないカテゴリーと記事がたくさん追加されていました。なんじゃこれ！

幸いにも指定カテゴリーの記事のみ表示する作りにしていたので表には出ていなかったのですが、一週間程度でこんなことになるのかとびっくりしました。

逆になんでうちのホームページ大丈夫なんだろうと思ってプラグインの確認をしたのですが、いらないだろうと思いながらも保険で入れてたプラグインがかなり活躍していたようで、これは仕事でホームページ作る時は絶対入れとこうと備忘録。

SiteGuard WP Plugin

前職の仕事で別の業者さんが作っているホームページのメンテをすることがあって、その時に見てたら便利そうだなと思って真似して入れたプラグインです。ログインURLを変更できるところとログイン画面によくある、画像にあるひらがなを入力させて一致しないとログインできないようにできる機能がつけられていいじゃんくらいのつもりで入れてました。

改めておすすめプラグインなどで調べてみると絶対出てくるくらいメジャーなものでした。しかも国産だそうです。

スポンサーリンク

とにかくインストール！

wordpressのプラグイン管理画面からSiteguardで検索してインストールして有効化します。すると簡易画面のURLが変更されるので一度ログアウトしたんじゃなかったっけ？

すると早速ログイン画面が変わってます。

画像にあるひらがなを入れて一致しないとログインできないようになりました。これだけでもプログラムでログインできなくなるので大きいです。

SiteGuardの機能を見ていく

今まであまり見てこなかったけど、SiteGuardのダッシュボードをクリック。

けっこういろいろありますね…

管理ページアクセス制限

これをONにすると、24時間ごとにログインする必要がありますが、24時間管理画面にログインしていないIPすべてのアクセスを拒否できます。面倒ですが恐ろしい機能です。

ログインページ変更

ログインページのURLに乱数を追加してデフォルトのURLでアクセスできないようにします。後から自分の好きな文字列に変更もできます。変更後のURLを覚えておかないとログインできなくなってしまいますので注意。

画像認証

最初のひらがなのやつです。

ログイン詳細エラーメッセージの無効化

ログイン失敗したときに親切でユーザー名なのかパスワードが間違っているのか教えてくれるのですが、だんだん正解に近づく原因になってしまうので無効化します。

ログインロック

ログイン失敗を繰り返すIPを一定期間ロックします。

こんな感じでロックの履歴が出ます。向こうにはエラーページ出てるのでしょうか。攻撃してきてるIPだし晒してしまおう。2秒ごとにアクセスしてきてるのでプログラムですね。

ログインアラート

ログインがあった際に管理者宛にメールがきます。試しに弟がログインするたびにメールが来るので邪魔すぎてオフにしました。

スポンサーリンク

フェールワンス

正しい入力を行なってもログインを一回失敗します。会社のホームページ作った時になんで合ってるのに絶対一回失敗するんだ？バグか？って憤っていたのを思い出しました。

XMLRPC防御

XMLRPCを調べましたがよくわかりませんでした…XMLをhttp送信して動的にシステムにアクセスするアプリケーションのことっぽいですが。wordpressのプラグインにも使用されているものもあるようで、いい使い方も悪い使い方もあるみたいです。まぁなんでもそうですが。

ユーザー名漏洩防御

記事検索の際にユーザーidからログイン用のアカウント名が漏れないようにするものだとかなんだとか…そういうものを使ってなければオフでいいものっぽいです。筆者が増えてくると必要になりそうです。

更新通知

wordpress本体やらプラグインの更新がある際に管理者にメールがきます。これデフォルトの機能だと思ってうざいけど我慢してましたわ…オフにしよう。

WAFチューニングサポート

レンタルサーバーにはWAF(Web Application Firewall)ってのがだいたい備わっていて、Webで動作するアプリケーションをブロックするのですが、自分で設定するのが面倒なのでこいつでルールを設定してくれるみたいです。ブロックされてから考えればいいかって感じですね。

ログイン履歴

そのまま。なんというアカウント名でどこのIPの人がログインしようとしたか、その成否、何を使ってログインしようとしたかが1万件まで閲覧できます。

これを入れた瞬間毎日早朝に何秒かごとにログイン攻撃をめちゃくちゃ受けていることがわかります。攻撃してくる人の目的はなんなんでしょうか…

さいごに

年明け早々びっくりしたというお話でした。会社のホームページたまたまだけどちゃんとしといてよかったです。大きな会社だと決算発表やらの開示があったりするので万が一乗っ取られたりしたら終わりですよね。どこまでこういうCMSを信用して使うのか非常に判断が難しいです。

お客様（かなり大きい）のホームページはCMSを使わない完全に静的に運用していますし、一番のセキュリティ対策はやはり静的ホームページの運用にかぎりますね。かといってみんな知識があるわけではないし…

大事な話だったので長くなりましたが、次回は入れたらめちゃくちゃ便利だったプラグインを紹介していきたいと思います。

参考サイト

• SiteGuard WP Plugin
• 【2023年最新】SiteGuard WP Pluginの使い方・設定方法まとめ

同じカテゴリの記事

関連記事

スポンサーリンク

DTP

• Adobe Acrobatでjavascriptを動かしてみる

Laravel開発

• VSCodeでSSH接続ができなくなりました
• Laravelを使ってみよう【#16】NginxにphpMyAdminを導入する
• Laravelを使ってみよう【#15】Nginxの設定を変える
• Laravelを使ってみよう【#14】エディタを変えたい
• Laravelを使ってみよう【#13】Laravelアプリケーションを公開
• Laravelを使ってみよう【#12】Google Cloudにプロジェクト作成
• Google Cloudを使ってみる【#3】無料SSLを設定して自動更新させる
• Google Cloudを使ってみる【#2】GCEのVMインスタンスを作成する
• Google Cloudを使ってみる-Laravelをインストール
• Laravelを使ってみよう-11 データベースにアクセスしてみる
• Laravelを使ってみよう-10 {{ __(”)}}と{{ session(‘status’) }}がわからない
• Laravelを使ってみよう-9 @yieldと@sectionの深い関係
• Laravelを使ってみよう-8　ログイン画面を作っていく
• Laravelを使ってみよう-7 ログイン認証機能を作る
• Laravelを使ってみよう-6
• Laravelを使ってみよう-5
• Laravelを使ってみよう-4
• Lalavelを使ってみよう-3
• Laravelを使ってみよう-2
• Laravelを使ってみよう-1

wordpressカスタマイズ

• 入れてよかったWordPressプラグイン備忘録【#2】
• 入れてよかったWordPressプラグイン備忘録【#1】
• wordpressのプラグインを作成する【#4】メディアライブラリを画像の数だけ増やす
• wordpressのプラグインを作成する【#3】メディアライブラリを使用する
• wordpressのプラグインを作成する【#2】データベースをカスタマイズ
• wordpressのプラグインを作成する【#1】メニュー表示とオプション画面表示

デジタルマーケティング

• Google検索アルゴリズムとは
• GoogleAnalyticsをサイトに導入する
• GoogleAnalyticsを導入する③
• GoogleAnalyticsを導入する②
• GoogleAnalyticsを導入する①
• Google Search Consoleを導入する
• Google Search Consoleを使って成果を検証する
• 「キーワードプランナー」を使ってターゲットに刺さるキーワードを探そう
• たくさんの人が訪れるホームページを作る
• 集客できるホームページがなぜ重要なのか
• SEOを活用して検索結果を操作しましょう

ライフハック

• Wordの差し込み印刷機能を使ったらちょっぴり幸せだった話

動画

• AfterEffectsのリニアワイプを使用する③-トラックマットを使用する
• AfterEffectsのリニアワイプを使用する②-オブジェクトを動かしてみる
• AfterEffectsのリニアワイプを使う①-使いやすい環境にする
• モーショングラフィックスの引き出しを増やす

当社製品について

• 抽選くじ