はじめに
WordPressを使い始めて4年程経つのに、未だにわからないことがいっぱいあります。どうも、なっち(@bboy_nacchi)です。
皆さんは、ブログのセキュリティー対策ちゃんとしていますか?よくわからないから後回しでもいいや〜とか思っていたりしませんか?
と思っているあなたは要注意です。まずは、こちらの画像を御覧ください。
この画像は、WordPressのとあるセキュリティ用プラグインを経由して、3月11日に僕の元に届いたメールの一部です。 件名を見ると、「Too many failed login attempts」とあります。つまり、ログインの失敗を検知して送られてきたメールです。
そして、注目してほしいのはそのメールの数。数が多すぎて画像には表示出来ていませんが、午前1時18分〜午前1時58分の間に148件ものメールが届きました。多いときで、1分に最大5回もの不正ログインが試みられています…Σ(´∀`;)
ということで今回は、まだまだPV数の少ない小規模ブログでも、セキュリティー対策はしっかりしていたほうがいいよというお話です。
あなたは大丈夫?Wordpressのセキュリティ対策ちゃんとやっていますか?Limit Login Attemptsの使い方
不正ログインの対象となったと考えられる要因
兆候は以前からあった
実は、僕のブログに対する不正なアクセスは以前からあることを自覚していました。この画像がその証拠です。
これは、当ブログに寄せられたスパムコメントの画面です。注目してほしいのはその数。なんと531件ものスパムコメントがあります。しかも、その95%があるひとつの記事に対して寄せられたスパムコメントなんです。ちなみに殆どが海外から(外国語)の書き込みです。
スパムコメントなんて、どんなブログでも寄せられるので、これだけで不正ログインの対象になっていた予兆という判断はあまいかもしれません。でも、1つの記事に対してだけコメントが来るなんておかしいと思いませんか?
特定の記事にだけスパムコメントが来ると思われる原因
スパムコメントの対象となっている問題の記事。実は、ツイッターで定期的にシェアしていただいているものなんです。(URL等はあえて伏せさせていただきます。)
そしてこの記事は、検索流入は殆ど無い(上位に表示されていない)記事なんです。そんな人気のない記事をわざわざスパムコメントの対象にするでしょうか?
ということで僕は、このスパムコメントの原因は、ツイッターによるものではないかという仮説を立てました。
そして、不正ログインの対象になった理由は、
- ツイッターで定期的にシェアされている=人気の記事
- 人気がある=乗っ取れ(パクれ)ば、メリットがあるかもしれない
- セキュリティもあまそうだし、パスワードを片っ端から試してみよう。
と悪意のある人に思われてしまったのではないのかと…
WordPressのセキュリティ対策をしっかりやろうと思った
前述したのはあくまで仮説です。ただ重要なのは、原因を追求することではなく、ユーザIDやパスワードを解析され、サイトの改ざんやコピーされるという重大な被害を抑えること。
月間約30000PVのまだまだなブログですが、今後流入が増えた場合は、その被害は大きくなること間違いありません。問題は、大きくなって対処できなくなる前に解決しようと思い、セキュリティ対策をすることにしました。
WordPressの不正ログイン対策には、「Limit Login Attempts」を使うべし!
WordPressを乗っ取られたり、サイトがコピーされてしまう原因は2つ考えられます。
- ウィルスやフィッシングサイトなどにより、ユーザ名とパスワードが盗み取られる
- 総当り攻撃によって、ユーザ名とパスワードが解析される
前者の場合は、ウィルス対策ソフトを導入したり、怪しいと思われる(フィッシング)サイトでは情報を入力しないという対策が考えれます。
今回僕が紹介する対策は、後者に対する対策。正しいパスワードに行き着くまで、何度もログインを試みてパスワードを盗み取る総当り攻撃に対する対策です。
Limit Login Attemptsとは
Limit Login Attemptsとは、ログイン失敗回数を制限できるWordpressのプラグインです。指定回数以上ログインに失敗すると、対象のIPアドレスからは、暫くの間(20分間など)ログイン画面へアクセス出来ないように制限がかけられます。
また、IPアドレスのホワイト&ブラックリスト機能があるので、対象のIPアドレスを追加することで、そのIPアドレスからはログイン画面にアクセス出来ないように制限できます。
Limit Login Attemptsでできること
- ログイン失敗回数の制限
- ロックする時間
- ロック解除までの時間
- ホワイトリスト&ブラックリスト
その他にも細かな設定はできますが、基本的にはこの部分を好みで変更することになると思います。
Limit Login Attemptsのインストール
「プラグイン」→「新規追加」を選択し、「Limit Login Attempts」を検索して「今すぐインストール」を選択します。
ポイント
インストールが完了したら、Limit Login Attemptsを有効化します。
Limit Login Attemptsの使い方(設定方法)
「設定」→「Limit Login Attempts Settings」を選択すると、Limit Login Attemptsの細かな設定ができます。基本的に初期設定で問題がありませんが、よりセキュリティを強化したい場合は、リトライ可能回数を減らしてもいいでしょう。
| Limit Login Attempts設定方法 | |
|---|---|
| allowed retries | リトライ可能回数を設定 |
| minutes lockout | ロックされる時間(分)を設定 |
| ? lockouts increase lockout time to ? hours | ?回ロックされると、?時間ロックされる設定 |
| hours until retries are reset | リトライ回数が解除される時間 |
| ホワイトリスト | アクセスを許可するIPアドレス、ユーザ名を入力 |
| ブラックリスト | アクセスを拒否するIPアドレス、ユーザ名を入力 |
ポイント
Limit Login Attemptsが正しく動作してるか確認してみよう
ログイン画面にアクセスし、あえて間違ったパスワードを入力してみます。すると「ユーザ名、またはパスワードが間違っています。残り3回ログインを試せます」との警告が表示されます。
失敗を繰り返すと次のような画面が表示され、ログインが一定時間(今回は20分)できなくなります。
アクセスが制限され、アカウントが一定時間ロックされると、Wordpressの「設定」→「一般」に登録してあるメールアドレスに、メールが届きます。それが、この記事の最初で紹介したこちらの画像です。
また、Limit Login Attempts Settingsの画面でも、次のようにログインに失敗した履歴を確認できます。
まとめ
- たとえ人気がなくPV数の少ないブログでも不正ログインの対象となる可能性がある
- 被害にあってから対処するのではなく、被害が合う前に危険性のある種を摘む
- WordPressのパスワード総当り攻撃対策には、Limit Login Attemptsを導入すべし
当ブログは、まだまだアクセスが少ないので、仮にパスワードを抜き取られたとしても、大きな被害にあうことはないでしょう。
でも、パスワードが抜き取られたことを知らずにブログ運営を続け、人気が出てきたタイミングでブログが丸パクリされていたりしていた場合、せっかくの苦労が無駄になってしまう可能性があります。
コピーサイトを後から撃退することも可能ですが、コピーされる前に対策をしていたほうが、簡単なことは言うまでもありません。
ポイント
自分は、まだブログを書き始めたばかりの初心者だから大丈夫!と油断して、セキュリティ対策をしていないと、いつの間にか不正ログインの対象になって、被害にあってしまうかもしれません。
あなたのブログは、あなたが築いた資産です。その資産を簡単に盗まれないように、事前にセキュリティー対策をすることを僕はおすすめします。
です。 皆さんは、ブログのセキュリティー対策ちゃんとしています){kind=link}