The post 当WordPressブログを乗っ取りされかけた件【現在は復旧済み】 first appeared on Fukuro Press.
]]>※ 上画像は改ざんされたファイルの実際の内容
当ブログは開設3年目くらい。
その中で初めての大事件です。
WordPressブログの乗っ取り!!
実際は乗っ取りされたのではなく、乗っ取りされかけたが正しいですが・・・今もかなり戦々恐々してるけど、なんとか乗っ取りから復旧できました。
そこでこれからWordPressを始める or 始めている人に向け、乗っ取り/ハッキングに遭ってしまったときの実体験とか対策 とかを残しておこうと思います。
私は毎日WordPressログインしてます。
ただその時は年末年始だったので、
数日くらいアクセスしてませんでした。
そして久しぶりに管理画面にアクセスしたとき・・
「You don't have permission to access this resource.」
あれ・・・?なんで・・・?
3年以上WordPress運営していて初めての経験。というか過去6年以上のWordPress歴でも初めてです。管理画面に行けずにパニックになりました。
でもこういうトラブルが起きた時、あれこれ触ると余計悪化することを自分は知ってます。いったん深呼吸して落ち着くことにしました。
こういったトラブルの場合・・・
次の2つの原因が考えられます。
今回のケースではプラグイン・テーマがどう頑張ってもできない改変が起きてました。また不審なファイルがたくさん生成されてたので後者(WordPress乗っ取り・ハッキング)だとすぐわかりました。
つまり バックドア が仕掛けられてたんです。
↓ バックドアとはこういうやつ
バックドアとは、英語で直訳すると「勝手口」「裏口」のことで、セキュリティの分野では「コンピューターへ不正に侵入するための入り口」のことです。
悪意を持った攻撃者が、ターゲットとなるコンピューターに侵入するための入り口を作るケースや、プログラムにあらかじめ入り口が作られており、侵入できるようになっているケースなどいくつかの種類があります。
上の説明では「コンピューター」となってますが、ここでは「WordPress/サーバー」と読み替えてください。WordPressの脆弱性は主にプラグインが原因なことが多く、それが攻撃者への入り口を作ってしまうことが多いです。
そうなると今回の自分みたいに不審なファイルをアップロードされてしまい・・・管理画面にアクセスできなくなったり、最悪サイト乗っ取りとか、サイバー攻撃の踏み台にされます。
大きな原因が分かったので・・・
次は原因1つ1つを潰すことにしました。
時系列順に復旧までの流れはこんな感じ。
最初に気づいたのは .htaccess の異変
全ての .htaccess がこういう内容になってたんです。
<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
このように htaccess が改変されたので、今までの gzip圧縮配信 だとか ブラウザキャッシュ延長 とかの設定もすべて消えてしまいました・・バックアップ取っといて良かった (T_T)
この htaccess にある FilesMatch ".(py|exe|php)$"
という部分。ここでphpを無効化(?)しているようなので、管理画面へのアクセスができなくなったみたいですね。
そこで htaccess を修正しようとしたんですが、ファイルパーミッションが 044 になってて編集できません。そこで 0644 にして編集してみます。
するとこういう現象が。
この現象を目の当たりにしたので、プラグインの仕業でないと判明しました。どう考えてもバックドアなどが仕掛けられ、自動でファイル改変するスクリプトが仕組まれてたみたいです。
そして次に気づいたこと
次の名前のファイルがあちこちに生成されてました。
どうやら about.php , wp-info.php はファイルのアップローダーと思しき内容。そして content.php は暗号化されたいかにも怪しいコードが埋め込まれてました。
↓ content.phpの一部内容
そこで取りあえず上記のファイルを探し出し、しらみつぶしにリネームしていくことに。プラグインディレクトリとかにもあったので、この作業がメチャクチャ大変だった・・・
ところが、これでも問題は解決しません。
どうやらサーバー内部にも侵入してたみたい
なぜそれに気づけたかというと、とあるファイルを編集したときのことです。上書きした段階でファイルパーミッションが 044 になり、編集内容も元に戻りました。
そういった動作はWordPress単体では不可能です。これはサーバー側でCronジョブやらバッチ処理が働いてる としか考えられないんですよね。
そこで以下マニュアルを参考にSSH接続しました。
SSH(Secure Shell) とは、物理的に遠いところから、サーバを操るための手段のひとつです。 例えば、サーバへログインして直接HTML文書を書いたり、フォルダを作成・削除など、 まるで目の前でサーバを操っている... SSH について – さくらのサポート情報 - さくらのサポート情報 |
SSH接続は何事もなく完了
↓ そして全プロセルを次コマンドで確認
ps -A
↓ こういう感じで表示された
46603 - S 0:40.10 /usr/local/php/7.4/bin/php /home/xxx/www/xxx/l.php
54245 - S 0:00.24 sshd: fukuro-press@pts/0 (sshd)
61590 - S 0:00.30 /usr/local/apache/bin/httpd -f /home/config/users/xxx/http/user-httpd.conf
61725 - S 0:00.23 /usr/local/apache/bin/httpd -f /home/config/users/xxx/http/user-httpd.conf
61728 - S 0:01.14 /usr/local/apache/bin/httpd -f /home/config/users/xxx/http/user-httpd.conf
88453 - S 33:07.37 /usr/local/php/7.4/bin/php /home/xxx/www/xxx/wp-content/themes/simplicity2/responsive-test/lock360.php
54247 0 Ss 0:00.14 -csh (csh)
62044 0 R+ 0:00.00 ps -A
なんか l.php とか lock360.php とかいかにも怪しいのが・・・そして該当するディレクトリ探しても、そういったファイルは見つかりませんでした。ますます怪しい |゚д゚)
そこで次コマンドでキルしました。
kill 46603
kill 88453
単純にプロセス番号を渡すだけ。
これだけで不審プロセスを一掃できました。
これでファイル変更が問題なく行えるように
以下ファイルを元に戻す作業をしました。
自動改変を行うプロセスをキルしたので、 .htaccess も無事編集でき、index.php の不審なコード(暗号化された意味不明なコード)も削除可能に。
そして管理画面へのアクセスが復旧!!
何とか復旧できてホッとしてます。
という感じでWordPress乗っ取りを解決しました。
自分は早期に気づけたので運がいい方ですね。
もし私と同じ目に遭いたくないなら、
次のような対策を常日頃からやってください。
今回のWordPress乗っ取り事件・・・
プラグインの脆弱性によるものと思われます。
なので必ずプラグインは更新すべき!
自分自身はWordPress乗っ取りされる前にプラグイン更新をかなり怠ってました。記憶があいまいだけど10個くらい未更新のものがあった気がします。
こういった乗っ取り・ハッキングに遭いたくないならプラグイン更新しないとダメだと思います。自分もすぐ更新するように習慣付けようと思います(反省)
私が乗っ取りに気づけのは運が良かったから
でも私自身、毎日WordPress管理画面にアクセスするという習慣もあります。そのおかげもあって異変にすぐ気づくことができました。
だから早期に気づけるように管理画面とかブログには毎日アクセスするのがベストです。半年とか1年もblog放置してるのは論外です。
そしてトラブルに自分で対処できないなら・・・
こういったサービスで相談するのも1つの手です。
特に ココナラ なら専門家に相談できます。
そして必要なら作業代行とかも依頼可能です。
ちなみに・・・
私自身もココナラで解決相談を実施してます。
もしお困りならご相談ください。
もちろん作業代行もご依頼可能です。
今回は私自身がハッキング・Wordpress乗っ取りに遭ってしまったので、まるで自分自身に依頼して解決してるような感じでした(笑)ただいい経験になったかなと思ってます。
こんなそんなで乗っ取りから復旧できました。
最悪の事態も想定してたので、今はホッとしてます。
皆さんもWordPress乗っ取りには気を付けてください!
以上、WP乗っ取りから復旧したという話でした。
The post 当WordPressブログを乗っ取りされかけた件【現在は復旧済み】 first appeared on Fukuro Press.
]]>The post ブログ(WordPress)へのxmlrpc攻撃が酷すぎたので無効化してみた first appeared on Fukuro Press.
]]>私はWordPressでブログ運営してます。
このブログも含め、全部WordPressですね。
その中の1つのブログにおいて、
xmlrpc攻撃がしつこく繰り返されています。
サーバー負荷とかも心配だったので、
ついに WordPressでxmlrpc無効化 を試してみました。
そのメモというか忘備録です。
きっかけはログイン履歴を調べたこと
自分はそのブログでSiteGuardを入れてます。
そのプラグインはログイン履歴も見れるんですよね。
↓ ログイン履歴を確認したところ・・・
xmlrpc攻撃がしつこく繰り返されてる。(怒
しかも1分単位とかでもなく数秒単位。
これはサーバーへの負荷も気になってしまいます。
恐らく人力攻撃ではなくBot的な攻撃ですね。
そこでxmlrpc自体の無効化を試したわけです。
xmlrpc無効化の前に注意点があります。
そもそもxmlrpcは何なのかという話ですが...
↓ Wikipediaではこう解説されている
XML-RPCとは、遠隔手続き呼出し (RPC) プロトコルの一種であり、エンコード(符号化)にXMLを採用し、転送機構にHTTPを採用している。非常に単純なプロトコルで、少数のデータ型やコマンドだけを定義しているだけであり、その仕様は2枚の紙にまとめられる。これは多くのRPCシステムが膨大な量の規格を規定し、実装に多量のプログラミングを要することに比べると、際立った特徴と言える。
「遠隔手続き呼出し (RPC) プロトコル」
データのやり取りをする決まり事ですね。
つまり、xmlrpcは無意味なものではないんです。
↓ WordPressではこういう用途で使われる
xmlrpcを止めると全部できなくなります。
もしxmlrpcを無効化するつもりなら、
かならず 止めてしまっていいかの確認 が必要です。
マイブログではxmlrpcは使ってません。
だから無効化してしまっても大丈夫でした。
xmlrpc無効化は xmlrpc.php を停止するだけ。
その方法は次のどちらかでできます。
WP上級者の自覚がある人は1つめの方法、
WP初心者~中級者は2つめの方法を試してください。
まずサーバーにFTPで接続してください。
気の利いたレンタルサーバーならWebFTP、
そうでないならFileZillaなどのソフトを使います。
あとWordPressから直接接続する方法もあります。
↓ FTP不要でファイル操作!「File Manager」の紹介
この記事で紹介したプラグインを使ってもOK
では接続したら xmlrpc.php のあるディレクトリへ。
WPインストールした一番上の場所にあるはずです。
そこで .htaccess というファイルを探します。
もしなかったなら自分で作成してください。
こういう記述を追加すればOK
<Files xmlrpc.php> Order Deny,Allow Deny from All </Files>
やってることは簡単で xmlrpc.php へのアクセスを無効化してるだけです。上のように Deny from All と書くことで、誰からもアクセスできないファイルになります。
これでxmlrpc攻撃におびえる必要なし。
SiteGuardプラグインを入れてる人限定
このプラグインには XMLRPC防御機能 があります。
次の手順で xmlrpc.php を無効化できます。
まず「SiteGuard」ー>「XMLRPC防御」をクリック
するとこんな画面が開きます。
デフォルトでは「ピンバック無効化」な模様
これを「XMLRPC無効化」に切り替えればOK
この方法だと .htaccess の編集がいりません。
安全にxmlrpc無効化できるのが良いとこですね。
あとSiteGuardはセキュリティプラグインとしても優秀です。
↓ 優秀な所をいくつか挙げてみると・・
私自身もWordPressブログに必ず入れてます。
ブログは資産だから 自己防衛 が大切です。
もしWordPressでこういう状態なら・・・
その状態はミドルリスク・ノーリターンです。
心配ならxmlrpc無効化しておくのがグッド
以上、WordPressでxmlrpc無効化する手順でした。
The post ブログ(WordPress)へのxmlrpc攻撃が酷すぎたので無効化してみた first appeared on Fukuro Press.
]]>The post WordPressのユーザー名は実は丸見え・・確実に外部から隠す方法 first appeared on Fukuro Press.
]]>ーーWordPressのユーザー名は外部からは分からないはず・・・
なにげなくWordPressを使っていると こう思いがちです。
でも実は!ユーザー名は外部から丸見えで簡単に知ることができてしまいます。
しかも誰でもできる「あること」をするだけです。
そんな状態だとセキュリティ的にかなり危険なので、
ここでは ユーザー名を完全に外部から隠す方法を紹介 したいと思います。
WordPressを使っている人にとって ユーザー名 はとても大事なもの
なぜならログイン画面でパスワードに加えてログインに必要になる情報だからです。
上の画像のようにユーザー名が分からなければログインできません。
裏を返すとユーザー名さえ分かってしまえば、
残りのパスワードを見破って不正にログインできてしまうということ
「そんな大事な情報なら外部に公開されてるはずがない!」
そう思っている人は多分多いですが、"あること" をすれば簡単に分かります。
それは次のようなこと
まずブラウザのURL欄にブログのトップページURLを入力し、
最後に「?author=1」をつけてアクセスしてみてください。
例えば次が入力するURLの例
https://fukuro-press.com/?author=1
アクセスしたらブラウザのURL欄に注目してください。
何も対策しなければ 次のようにユーザー名が丸見えになって表示されたはずです。
https://fukuro-press.com/author/ユーザー名/
これを不正ログインしようとしている人間が利用しないわけないですよね?
もし自分が悪いハッカーなら、ぜったいに悪用しますね。
こういう風に、ユーザー名 は対策なしだとすぐに見破られるもの。
ですがこのユーザー名、簡単に分かってしまいますが隠すのも簡単です。
その方法とは「WP Author Slug」というプラグインを導入すること
本当にインストールして有効化するだけですが、一応手順を説明しておきましょう。
まずWordPressメニューから「プラグイン」ー>「新規追加」をクリック
新規追加画面が開いたらプラグインの検索欄に「wp author slug」と入力
しばらくすると検索結果に次のプラグインが表示されるので「今すぐインストール」ボタンをクリックしてインストールしてください。
ちなみに手動インストールする場合は次のページからzipがダウンロード可能
https://ja.wordpress.org/plugins/wp-author-slug/
インストールが終わると「今すぐインストール」が「有効化」に変わるので、
それを押すのもお忘れなく
以上でユーザー名を隠すことができました。
もし「本当に隠れたの?」と心配なら・・・
もう一度ブラウザ欄に「?author=1」をつけてアクセスしてみてください。
次のように404ページが表示されるようになったはずです。
しかもアクセス後URLは自動で次のURLに飛ばされます。
↓ この例のように「author」だけのURLに転送されるようにもなる
https://fukuro-press.com/author/
これで不正ログイン者が、ユーザー名を自力で見つけることは不可能になりました。
以上がWordPressでユーザー名を隠す方法
ただプラグインを入れておくだけですが、導入しておけばセキュリティが高まります。
セキュリティは過剰に対策するくらいじゃないと不完全です。
なのでユーザー名を隠す以外にも他の対策をしておきましょう。
そのセキュリティ対策として最低限しておきたいのは次の2つ
特に二段階認証は不正ログインを防ぐなら"絶対"に導入しておいた方がいいです。
また パスワードを強力なものにしたり使いまわさない こととか、
あとは プラグインをこまめに更新すること も大事ですね。
詳しくは次の記事でまとめたので是非そちらをご覧ください。
対策を怠っていてあとで泣きを見ることがないよう、不正ログイン対策だけはしっかりとしておくべきです。
ユーザー名が誰からも見える状態は不正ログインされやすくなってしまいます。
なのでここで紹介した WP Author Slug を導入して外部から隠しておきましょう。
ただインストールして有効化しておけばいいだけなので、
ユーザー名が丸見え状態を回避するために導入してみてください。
以上WordPressユーザー名を外部から完全に隠す方法についてでした。
The post WordPressのユーザー名は実は丸見え・・確実に外部から隠す方法 first appeared on Fukuro Press.
]]>The post WordPressにも2段階認証を!Google Authenticatorの導入手順 first appeared on Fukuro Press.
]]>WordPressは広く使われている分、セキュリティ的に弱いところを突かれて不正ログインなどの被害に遭いやすいです。
なので不正ログインを他人事と思わずに「自分もいつか被害に遭うかもしれない」、という気持ちでセキュリティ対策はしておくべきです。
ではセキュリティを高めるためにいったい何をすればいいのか・・・
その答えの1つがログイン画面で2段階認証を有効にすることです。
ここでは Google Authenticator ( miniOrangeプラグイン ) を使い、2段階認証を設定する手順について紹介していきます。
2段階認証は最近よく聞くようになった言葉ですよね。
これはログイン時にパスワードに加え、
さらに他の情報を求めて2段階の認証をさせることです。
例えば今までの方法だと、次みたいな1段階認証。
このように、IDとパスワードだけなのが今までの問題点。
そこで2段階認証では、もう1つ本人確認の作業を増やしています。
その認証作業の例をいくつか挙げるとすると・・・
・・・などなど
メールとか電話番号とかスマホの認証アプリというのは本人でしか使えないので、誰かがなりすましでログインできる可能性がかなり低くなります。
WordPressでも次に紹介するGoogle Authenticatorプラグインを導入すれば、管理画面でもこの2段階認証が利用可能です。
例えば管理画面でパスワードに加えて、次のようにスマホの認証アプリから送られてくるコードを入力しなければログインができない仕組みになります。
認証アプリで認証コードを得るにはプラグインから自分のスマホを登録しないといけないので、赤の他人は認証コードを得ることすら不可能です。
しかも認証コードは30秒~1分ごとに毎回変わるので推測することも不可能になります。
つまり2段階認証をしておけば次の メリット があるんです。
今までのIDとパスワードを入力するだけに比べ、セキュリティが劇的に高くなることが分かると思います。
二段階認証の設定手順を簡単にまとめると次の通り
ではこの手順について順番に説明していきます。手順通りにやれば数分くらいで終わるのでパパッと設定してしまいましょう。
まずGoogle AuthenticatorをWordPressにインストール・有効化します。
その手順は次の通り
まずWordPressメニューから「プラグイン」ー>「新規追加」を選択
新規追加画面が開いたらプラグインの検索欄に「google authenticator」と入力して検索
しばらくすると検索結果の一番上に次のようなプラグインが表示されるので「今すぐインストール」ボタンを押してインストールします。
ちなみに以下ページから直接ダウンロードも可能
https://ja.wordpress.org/plugins/miniorange-2-factor-authentication/
インストールが終わると「今すぐインストール」ボタンが「有効化」ボタンに変わるので必ずそれを押して有効化しましょう。
これでプラグインのインストール・有効化は完了です。
プラグインから二段階認証設定するにはminiOrangeアカウントが必要です。
なのでminiOrangeアカウント作成してサインアップしましょう。
その手順は簡単で次の通り
まずWordPressメニューから「miniOrange 2-Factor」を選択
すると次の画面が開くのでオレンジ色で囲った枠にメールアドレスやパスワードなど必要な情報を入力して「Create Account」ボタンを押しましょう。
*注意* : 登録したメールアドレスとパスワードは2段階認証の再設定時にも必要になるので必ず覚えておくかどこかにメモしておいてください。
しばらくすると登録したメアドに「123456」のような6桁のワンタイムパスワードが書かれたメールが届きます。
あとはこのワンタイムパスワードをプラグイン画面から入力して「Validate OTP」ボタンをクリック
認証に成功すると次のようなダイアログが現れます。
ここまでがアカウントのサインアップ手順です。
では次にこのダイアログで2段階認証の設定をしていきましょう。
miniOrangeでは次の3つの方法での二段階認証に対応しています。
ここでは一般的に使われているGoogle Authenticatorアプリを使い、WordPress管理画面に二段階認証を設定していきます。
その手順は次の通り
ではまず先ほど開いたダイアログの「Next」ボタンを押して先に進みましょう。
次に進むと、どの認証法を使うか聞かれるので「Google Authenticator」を選んでそのまま放置
しばらく待つと次のような画面に自動的に進みます。
ではまずこの画面左にある「Select Phone-Type」から認証に使うスマホの種類を選んでください。
ここではAndroidを選びました。
そうしたらスマホにGoogle Authenticatorアプリをインストール。
Android・iPhoneそれぞれのダウンロードリンクはこちらから
Android版 : https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja
iPhone版 : https://itunes.apple.com/jp/app/google-authenticator/id388497605?mt=8
インストールが終わったらダイアログ真ん中に表示されているQRコードをスマホのバーコードリーダなどで読み取りしてください。
上の画像のオレンジ色の枠で囲ったところにあるのがQRコードです。
このQRコードを読み取るとGoogle Authenticatorアプリが起動し、miniOrangeプラグインのキーが保存されます。
キーが保存されていないとアプリを2段階認証に使えないので必ずQRコードの読み取りは忘れずに
Google Authenticatorアプリでは認証コードは6桁の数字で表示されます。
この認証コードが管理画面でのログインに必要になることを覚えておきましょう。
ちなみにこのコードは30秒~1分程度で別のものに切り替わります。
ではminiOrangeプラグインの設定ダイアログに戻って、今表示されている認証コードを入力して「Verify and Save」を押してください。
そして次のようなメッセージが表示されれば2段階認証の設定は完了です。
ちなみに「Next」を押すと2段階認証のテストができます。
それが不要なら「Skip Test」を押してダイアログを閉じてOKです。
長かったですが、以上で2段階認証ログインできるようになりました。
次は実際に2段階認証でログインしてみることにします。
まず今WordPressにログインしているならログアウト。
ログアウトしたら今までと同じように次のログイン画面が出てきます。
ここはもう普通にユーザー名とパスワードを入力して「ログイン」ボタンを押すだけです。
二段階認証が今までと違うのはログインボタンを押すと次のような認証コード入力画面が出てくること
この画面でやることはGoogle Authenticatorアプリに表示されているコードを入力して「Validate」ボタンを押すだけです。
認証コードを正しく入力すればいつも通りにダッシュボードが表示されます。
認証コードを確認して入力する、それだけの手間が増えただけです。
でもこれだけの手間でセキュリティ飛躍的に上がりますね。今までと比べものにならないほど安全にすることが可能です。是非お試しを!
2段階認証には1つ知るべきことがあります。
それはログインできない時の対処法
ごくまれに起こるんです。滅多にないですが・・・
その体験談は次noteで書いた通りです。
体験談ついでに対処法も書いてあります。
その手順を端的に書くならこうですね。
これで2段階認証を一時的に解除できます。
もちろんサーバーへの2段階認証もお忘れなく・・・
(利用できないならパスワードを限りなく強固に!)
以上がWordPressでの2段階認証の導入手順
WordPressのセキュリティがかなり高くなるはずです。
ですが2段階認証に加え、次の対策もすればセキュリティ向上に効果があります。
詳しくは次の記事でまとめたのでご覧あれ。
ちょっとした心掛けや、プラグインの導入でセキュリティは誰でも簡単に高められます。面倒くさがらずにWordPressの不正ログイン対策はしておきましょう。
以上、WordPressに2段階認証を設定する方法について紹介しました。
情報発信の場をハッカーや悪意のある人間に乗っ取られないよう、二段階認証も含めてセキュリティ対策はバッチリしておきたいですね。
The post WordPressにも2段階認証を!Google Authenticatorの導入手順 first appeared on Fukuro Press.
]]>The post WordPressの不正ログインを防止してセキュリティを高める6つの対策 first appeared on Fukuro Press.
]]>WordPressはブログ作りに必須のツールと言っても過言ではありません。
でもそれだけ広く普及していてからこそセキュリティの穴をついて不正ログインしようとする攻撃者が多いのが現実
不正ログインされてしまうとブログを乗っ取られたり、他サイトへの攻撃の踏み台にされ加害者にもなってしまうこともあります。
ここではその被害を防ぐためのWordPress向けセキュリティ対策をまとめました。
不正ログイン防止のために "絶対" しておきたいのが次の対策
ここでいうパスワードとはWordPressにログインするときにユーザー名と一緒に入力するパスワードのことです。
このパスワードを考えるのが面倒だからと言って他のサイトやサービスで使っているパスワードを使いまわすと「パスワードリスト攻撃」のターゲットになってしまいます。
パスワードリスト攻撃とはあるサイトのパスワードを見破り、他サイト入力にも不正ログインしようとする攻撃手法のことです。
例えばあなたがサイトAとサイトBとWordPressで同じIDとパスワードを使いまわしたとします。その時攻撃者は一番セキュリティの低いサイトAのパスワードをまず見破り、その後芋ずる式に他のサイトBとWordPressに不正ログインできてしまいます。
なのでパスワードを考えるのが面倒くさいとしても使い回しだけは絶対にやめましょう。
もしパスワードを覚える手間を減らしたいならパスワードを一括で管理できる1passwordどのパスワード管理ツールを使うのが良いと思います。
パスワードは当然ながら強力なものにすべきです。
では強力なパスワードを作るための重要なポイントは何かというと次の3つ
ここでパスワードの強度と解析にかかる時間に関する調査結果を紹介します。
以下の表は株式会社ディアイティが調査した圧縮時にパスワードを設定したZipファイルのパスワード強度とその解析にかかる時間の関係を表したものです。
「7ケタで英小文字のみ」しか使用していないパスワードではなんと2秒で破られてしまいます。また桁数が10桁と多くても小文字しか使っていない場合でも見破るのにわずか10時間です。
上の表では緑色で囲んだ部分が安全だと思われる桁数と文字種類です。10桁で英数字+記号を使った場合は解析に527年かかるので、安全なパスワードを目指すなら少なくとも10桁以上でなるべく多くの種類の文字を使うという事が重要だと分かります。
実はWordPressのログインIDというのは外部から丸見えです。
しかもブラウザのURL欄で「あること」をするだけでバレてしまいます。
そのあることとはトップページURLに「?author=1」をつけてアクセスすること
例えば次がアクセスするURLの例です。
https://example.com/?author=1
何も対策されていないならURL欄で次のようにユーザー名が丸見えで表示されます。
http://example.com/author/ユーザー名/
これだとセキュリティ的にかなり危険ですよね。
なのでユーザー名は外から見えないように対策しておきましょう。
その詳しい手順については次記事で解説しました。
プラグインを導入すれば数分でできるので、是非お試しを
WordPressではログイン画面が誰にでもアクセスできるようになっているのでその時点で不正ログインがされるリスクが高まります。
そこでログイン画面を隠し、セキュリティを高めたいなら「SiteGuard WP Plugin」というプラグインを導入するのがベストな方法です。
このプラグインの導入や使い方は次記事で解説しました。
導入すると次のような不正ログイン対策が可能になります。
WPログインページのURLは次のように「wp-login.php」という部分が共通しています。
http://[ドメイン名]/wp-login.php
そのためログイン画面だけなら誰でもアクセスできてしまうのが問題点
しかしプラグインを有効化するとログインページURLが次のように置き換わります。
http://[ドメイン名]/login_[数字列]
数字列には「12605」などの不規則な数字列が入るので攻撃者がログインページを推測しにくくなるという訳です。
次のようにログイン画面でアカウント名とパスワードに加え、画像表示されている文字列を入力しなければログインできなくなります。
攻撃者はBotと呼ばれるプログラムを使ってセキュリティを突破することがあるのでこのようにログイン時に人間でないとできない画像認証を設定しておくとセキュリティも強まります。
不正ログインしようとする攻撃者がよく利用するのがパスワードを総当たりで入力していくブルーフォースアタック(力任せ攻撃)と呼ばれる攻撃方法
この攻撃を防ぐために SiteGuard WP Plugin ではログインに失敗しすぎると一定時間ロックがかかってログインできなくなる「ログインロック」という機能がついています。
上の画像は実際にログインロックがかかった時の画面
このように専門知識が無くても簡単に不正ログイン対策が行えるので「SiteGuard WP Plugin」はおススメです。
セキュリティを万全にするなら絶対に導入しておきたいのが二段階認証
これは言葉通り、ログイン時にパスワードだけではなく他の認証情報を求めて2段階の認証をさせることです。
例えば従来のログインだと次のように1段階の認証だけで本人確認ができてしまいました。
これだとIDとパスワードを特定されてしまったら終わりです。
二段階認証の場合はパスワードの入力に加えて本人にしかできない認証が求められます。
例えばその例を挙げるとすると・・・
・・・などなど
メールや音声通話や認証アプリというのは本人しか受け取ることができないので、なりすましによるログインを防ぎやすくなるという訳です。
WordPressでこの二段階認証を設定するにはminiOrangeプラグインが一番おすすめです。
その導入手順と二段階認証の設定手順について次の記事でまとめたので是非ご覧ください。
ログイン時に手間が増えますが、それだけでセキュリティが抜群に高まります。なので不正ログインの被害にあわないためにも、絶対に導入して損はありません。(負担が大きすぎるなら無理にまで導入しなくてもいいです)
長い間更新されていないプラグインは脆弱性(セキュリティ的に弱いところ)を持っていることがあるのでこまめに更新した方が良いです。
更新手順ですがまずメニューから「プラグイン」ー>「インストール済みプラグイン」と進みます。
そしてインストール済みプラグインの一覧画面の「利用可能な更新」の横に(3)などの数字がかかれていたなら更新しなくてはならないプラグインがあるという事なのでそのリンクをクリックしてください。
利用可能なプラグインが一覧表示されるので次のように全てのプラグインをチェック
そして「一括操作」のプルダウンメニューから「更新」を選び、「適用」ボタンを押すとプラグインの更新が始まります。
更新が完了するとプラグインの下に「更新しました」というメッセージが表示されます。
WordPressの不正ログイン対策をまとめると次の通り
ブログやサイトを乗っ取られて嘘の情報を発信するための踏み台にされたり、加害者にならないように普段からセキュリティ対策はしっかりしておきましょう。
The post WordPressの不正ログインを防止してセキュリティを高める6つの対策 first appeared on Fukuro Press.
]]>The post WPの不正ログイン防止プラグイン「SiteGuard WP Plugin」の設定方法 first appeared on Fukuro Press.
]]>WordPressはユーザ名とパスワードが分かれば誰でもログインできてしまいます。
それだと不正ログインの被害に遭ったり、ブログ・サイトが丸ごと乗っ取られるリスクがあるからかなり危険です。
そのリスクを減らすのに絶対入れるべきが SiteGuard WP Plugin プラグイン
ここではこのプラグインで不正ログインを防いでセキュリティを向上させる使い方についてまとめました。
まずこのプラグインをインストールするには、
メニューから「プラグイン」ー>「新規追加」をクリック
新規追加画面が開いたらプラグインの検索欄に「siteguard」などと入力して検索
すると検索結果の上あたりに次のようなプラグインが表示されるので「今すぐインストール」を押してインストールしてください。
ちなみに以下のプラグインページから直接ダウンロードすることも可能です。
https://ja.wordpress.org/plugins/siteguard/
インストールしたら「今すぐインストール」ボタンが「有効化」ボタンに変わるので、必ずそれを押して有効化するのもお忘れなく
プラグインを有効化すると次のように、画面上部に「新しいログインページURLをブックマークしてくだい」というメッセージが表示されます。
この指示通りに「新しいログインページURL」を必ずブックマークに追加してください。
何も設定していないデフォルトの状態だとログインページのURLは次のようになります。(「wp-login.php」というのはどのWordPressでも共通)
http://[ドメイン名]/wp-login.php
これだと誰でもログインページにアクセスできてしまうので、このプラグインを有効化するとログインページURLが次のように置き換わります。
http://[ドメイン名]/login_[数字列]
数字列には「88605」などの不規則な数字列が入るので攻撃者がログインページを推測しにくくなるという訳です。
ですが・・・
ログインページURLを忘れると管理者ですらログインページに入れなくなるので要注意
先ほど書いたように、必ず新しいログインページのブックマークは忘れないでください。
そうしないと開かずの扉ならぬ「開かずのブログ」になってしまいます。
導入自体はこれで終わり。
次は SiteGuard WP Plugin の不正ログインを防ぐ機能を紹介します。
突然ですが先ほどブックマークした新しいログインページにアクセスしてみてください。
そうするとユーザー名とパスワードの下に表示された文字列を入力しないとログインできない画像認証が追加されましたよね?
これがこのプラグインの1つめの機能、いわゆる 画像認証 です。
この画像認証はログインページの他に次の管理ページでも表示されます。
そしてこの画像認証パターンには次の3つが設定可能
もし画像認証の設定を変えたい場合、
メニューから「SiteGuard」ー>「画像認証」を選んでください。
画像認証ページを開くと次のように画像認証のON/OFFや認証方式の設定を選択することが可能です。
設定を変更したら下の方にある「変更を保存」ボタンを押すと変更が反映されます。
これはログインがあったことをメールで知らせてくれる機能です。
実際にログインページからログインしてみると次のようなメールがWordPressに登録してあるメールアドレス宛に届きます。
もし不正ログインがあったとしても、このメール通知が来るからすぐ対処可能です。
WordPressに不正ログインしようとする攻撃者がよく使うのは、
ブルートフォースアタック(力任せ攻撃)と呼ばれる攻撃手法
これはパスワードで可能な組み合わせを全て試し、総当たりでセキュリティを突破するという攻撃のことです。
これを防ぐために一定回数ログインに失敗すると一定期間ログインができなくする機能があって、それが ログインロック です。
実際にログインページで複数回ログインに失敗するとフォームの上に「エラー: ログインはロックされています。」というメッセージが出てきてログインができなくなります。
デフォルトではロック時間は一分になっていますが、この設定を変えたい場合はメニューから「SiteGuard」ー>「ログインロック」と進むと次のような設定画面が出てきます。
この画面では設定できるのは次の3つの項目
例えば期間を5秒、回数を3回、ロック時間を1分に設定すると「5秒の間に3回ログイン失敗したら1分間だけロックがかかる」という設定になります。
自分の所有しているブログやサイトは大事な資産です。
なのでそれを乗っ取られて被害にあわないためにもここでは紹介した「SiteGuard WP Plugin」などのプラグインを導入しましょう。
自分は大丈夫と思わわずにしっかり不正ログイン対策をするのが大切です。
The post WPの不正ログイン防止プラグイン「SiteGuard WP Plugin」の設定方法 first appeared on Fukuro Press.
]]>