入れてよかったWordPressプラグイン備忘録【#1】

2023年01月06日

WordPressへの攻撃は思っているよりすごかった

年末に弟のホームページをwordpressにて戯れに作っていました。プラグインたくさん入れるのが好きじゃないのと、仕事じゃないしってのもあって超絶無防備な状態で公開してました。

年明けにホームページの使い方を弟に説明していたのですが、投稿画面を見てみると見たこともないカテゴリーと記事がたくさん追加されていました。なんじゃこれ!

Oh…!

幸いにも指定カテゴリーの記事のみ表示する作りにしていたので表には出ていなかったのですが、一週間程度でこんなことになるのかとびっくりしました。

逆になんでうちのホームページ大丈夫なんだろうと思ってプラグインの確認をしたのですが、いらないだろうと思いながらも保険で入れてたプラグインがかなり活躍していたようで、これは仕事でホームページ作る時は絶対入れとこうと備忘録。

SiteGuard WP Plugin

前職の仕事で別の業者さんが作っているホームページのメンテをすることがあって、その時に見てたら便利そうだなと思って真似して入れたプラグインです。ログインURLを変更できるところとログイン画面によくある、画像にあるひらがなを入力させて一致しないとログインできないようにできる機能がつけられていいじゃんくらいのつもりで入れてました。

改めておすすめプラグインなどで調べてみると絶対出てくるくらいメジャーなものでした。しかも国産だそうです。

スポンサーリンク

とにかくインストール!

wordpressのプラグイン管理画面からSiteguardで検索してインストールして有効化します。すると簡易画面のURLが変更されるので一度ログアウトしたんじゃなかったっけ?

すると早速ログイン画面が変わってます。

画像にあるひらがなを入れて一致しないとログインできないようになりました。これだけでもプログラムでログインできなくなるので大きいです。

SiteGuardの機能を見ていく

今まであまり見てこなかったけど、SiteGuardのダッシュボードをクリック。

けっこういろいろありますね…

管理ページアクセス制限

これをONにすると、24時間ごとにログインする必要がありますが、24時間管理画面にログインしていないIPすべてのアクセスを拒否できます。面倒ですが恐ろしい機能です。

ログインページ変更

ログインページのURLに乱数を追加してデフォルトのURLでアクセスできないようにします。後から自分の好きな文字列に変更もできます。変更後のURLを覚えておかないとログインできなくなってしまいますので注意。

画像認証

最初のひらがなのやつです。

ログイン詳細エラーメッセージの無効化

ログイン失敗したときに親切でユーザー名なのかパスワードが間違っているのか教えてくれるのですが、だんだん正解に近づく原因になってしまうので無効化します。

ログインロック

ログイン失敗を繰り返すIPを一定期間ロックします。

こんな感じでロックの履歴が出ます。向こうにはエラーページ出てるのでしょうか。攻撃してきてるIPだし晒してしまおう。2秒ごとにアクセスしてきてるのでプログラムですね。

ログインアラート

ログインがあった際に管理者宛にメールがきます。試しに弟がログインするたびにメールが来るので邪魔すぎてオフにしました。

邪魔ー!
スポンサーリンク

フェールワンス

正しい入力を行なってもログインを一回失敗します。会社のホームページ作った時になんで合ってるのに絶対一回失敗するんだ?バグか?って憤っていたのを思い出しました。

XMLRPC防御

XMLRPCを調べましたがよくわかりませんでした…XMLをhttp送信して動的にシステムにアクセスするアプリケーションのことっぽいですが。wordpressのプラグインにも使用されているものもあるようで、いい使い方も悪い使い方もあるみたいです。まぁなんでもそうですが。

ユーザー名漏洩防御

記事検索の際にユーザーidからログイン用のアカウント名が漏れないようにするものだとかなんだとか…そういうものを使ってなければオフでいいものっぽいです。筆者が増えてくると必要になりそうです。

更新通知

wordpress本体やらプラグインの更新がある際に管理者にメールがきます。これデフォルトの機能だと思ってうざいけど我慢してましたわ…オフにしよう。

WAFチューニングサポート

レンタルサーバーにはWAF(Web Application Firewall)ってのがだいたい備わっていて、Webで動作するアプリケーションをブロックするのですが、自分で設定するのが面倒なのでこいつでルールを設定してくれるみたいです。ブロックされてから考えればいいかって感じですね。

ログイン履歴

そのまま。なんというアカウント名でどこのIPの人がログインしようとしたか、その成否、何を使ってログインしようとしたかが1万件まで閲覧できます。

これを入れた瞬間毎日早朝に何秒かごとにログイン攻撃をめちゃくちゃ受けていることがわかります。攻撃してくる人の目的はなんなんでしょうか…

さいごに

年明け早々びっくりしたというお話でした。会社のホームページたまたまだけどちゃんとしといてよかったです。大きな会社だと決算発表やらの開示があったりするので万が一乗っ取られたりしたら終わりですよね。どこまでこういうCMSを信用して使うのか非常に判断が難しいです。

お客様(かなり大きい)のホームページはCMSを使わない完全に静的に運用していますし、一番のセキュリティ対策はやはり静的ホームページの運用にかぎりますね。かといってみんな知識があるわけではないし…

大事な話だったので長くなりましたが、次回は入れたらめちゃくちゃ便利だったプラグインを紹介していきたいと思います。

参考サイト

お知らせ

株式会社プラン・ドゥでは展示会の設営や販促品やホームページなど販促に関わるサービスの販売を行なっております。
展示会などでのノベルティなど豊富に取り揃えております。

取扱商品はこちらからご覧いただけます。
https://plando-inc.co.jp/product

同じカテゴリの記事

関連記事

スポンサーリンク

DTP

Laravel開発

wordpressカスタマイズ

デジタルマーケティング

ライフハック

動画

当社製品について

Contact各種お問い合わせ

お問い合わせ・ご相談など
まずはお気軽にご相談ください

お仕事のご依頼やご相談、弊社サービス内容に関してなど、お気軽にご相談ください。

トップページ コラム 各種お問い合わせ プライバシーポリシー