南京錠と扉

Webサイト構築

WordPress設置翌日にブルートフォースアタックを受けた話

投稿日:2018年9月12日 更新日:

WordPressでWebサイトを運営されている方、セキュリティ面はバッチリですか?

タイトルの通りなんですが、私はWordPressを設置した翌日の、まだ何もコンテンツがなかった時にブルートフォースアタックを受けたことがあります

なので、どなたも例外なく絶対に気を付けた方が良いですよー!
プラグインで簡単に不正アクセス対策が可能なので、「そういえばまだ対策してなかった!」という方はぜひやってみてくださいね!

ブルートフォースアタックとは

ブルートフォースアタックとは、パスワード等の解析方法の一つです。
総当たり攻撃とも呼ばれます。

WordPressの場合、ユーザー名とパスワードをひたすら変えて管理画面にログインを試みる、というものがこれに当たります。
ユーザー名が分かっている場合は、パスワードのみをひたすら変えて挑んで来ます!

WordPressのユーザー名は、デフォルト状態では実はものすごく簡単に分かるようになっている為、早めの対策が必要です。

なお、このブルートフォースアタックはプログラムを使って自動的にログインを試みてくるので、試行回数は短時間のうちにとんでもない数に上ります。

 

私が実際に受けたブルートフォースアタックの内容

私がWordPressを設置したのは2018年5月8日です。
(ちなみに、このブログでもレオナのサイトでもないですよー。)

その翌日の5月9日にブルートフォースアタックを受けました。
ほんの1分20秒の間に、なんと940回ものログイン履歴があったんです!

幸いなことに既に不正アクセス対策のプラグインで自衛をしていた為、不正ログインが成功することはなかったんですが、昨日の今日で!?という感じでとてもびっくりしてしまいました。

有名なサイトだけが標的になるわけじゃないんですね!

「設置直後に面倒くさがらずにセキュリティ対策をしておいた自分GJ…」と、このときばかりは自画自賛してしまいましたよ…。
というか、自分がどうとか言うよりも、完全にプラグイン様様なんですけどね!

 

私が行っているセキュリティ対策

そのありがたいプラグインをこれから紹介しますので、もし「何も対策していない!」という方がいらっしゃいましたら参考にしてみてくださいね。
プラグインのおかげで不正ログインの履歴が取れているので、そちらもあわせて掲載しておきます。

 

SiteGuard WP Plugin

SiteGuard WP Plugin  というプラグインを使うことにより、様々なセキュリティ対策が可能です。
これ1つあれば、大体のことはカバーできますよ!

日本の会社が作成しているプラグインなので、説明が日本語でとってもわかりやすいです。

このSiteGuard WP Pluginの機能の一つに「ログイン履歴」があり、ログイン成功、失敗、ロックも含めてすべての履歴が確認可能となっています。

そのログイン履歴にブルートフォースアタックの履歴が残っているので、画面のスクリーンショットを載せておきますね。

IPアドレスは一応個人情報なので伏せておきますが、アメリカ合衆国からのアクセスでした。

  不正ログイン931回目~940回目(1ぺージ目)

不正ログイン履歴

~中略~

  不正ログイン1回目~10回目(94ぺージ目)
この次の95ぺージ目に、自分の正当なログイン履歴が1件だけあります。
不正ログイン940件+自分のログイン1件=全941件です。

不正ログイン履歴

ログインに3回失敗すると、3回目以降は一定期間強制的にロックする、というSiteGuard WP Pluginの機能をONにしていた為、3回目以降は「ロック」と表示されています。

 

Edit Author Slug

先程の画像でログイン名が全て「1」になっていますが、実はこれ、Edit Author Slug  というプラグインを使って偽装しているユーザー名なんです。
なので、パスワードをどれだけ変えようとも、ユーザー名を正解のものに変えない限り、ログインすることはできません。

ユーザー名はWordPressの管理画面>ユーザー>あなたのプロフィールで変更する、というのが有名で、実施されている方が多いかと思います。
でも実はそれだけだと不十分なんです。

試しに、ご自分のドメインの後ろに、?author=1を付けてみてください。
例えばこのブログなら、「https://leonasuzuki.com/?author=1」です。
このURLにアクセスした時、何も対策していない場合は自分のユーザー名がアドレスバーに表示されてしまうんです。

この部分の表示を変更できるのが、Edit Author Slugなんですよ!

私の場合は「1」に表示を変更していた為、不正アクセスをしようとする悪者がユーザー名を「1」だと思い込み、ユーザー名を固定してパスワードの総当たり攻撃を仕掛けてきた、というわけですね!

イメージ

自作のイラストでちょうどいいものがあったのでつい。笑

 

不正アクセス対策プラグインまとめ

私が不正アクセス対策用に使っているプラグインです。

もしまだ対策をされていない場合、上記以外のプラグインでも良いので、ぜひお早目に導入を検討してみてください!

面倒に思う方もいらっしゃるかもですが、設定は短時間で済みますよー。

 

-Webサイト構築

Copyright© Leonardo , 2018 All Rights Reserved.