wordpressの不正アクセスをベッキベキに防ぐ方法を探してみた。
初回公開日時: 2014年3月7日 @ 18:31 より随時更新中。追記増えたら更新アゲします。
このサイト、コメント欄は切ってます。スパムきたときの管理がめんどくさいというのがその理由です。
が。
管理画面の不正ログインしようとするやつらがなんかIP変えて性懲りも無くくる。
「アクセス制限するプラグイン」とか、「ログインを制限してセキュリティ対策するプラグイン」とか使ってるんです。これでも。昨日不正アクセスエラー見たらなんかすんごいログでてて、総当り攻撃=ブルートフォースアタックってのが900回以上きてた。
(アタックして来た履歴はこちらで見れます。今回はパリからきてた)
(#´Д`)ビキ
すごくめんどくさいので、ログインに関する特定ファイルだけ.htaccessアクセス制限をかける方法を使いました。
手順は
2・テキストで開いて保存
3・wordpressのlogin.phpにだけ、アクセス制限を適用する記述を追加する。
4・出来上がった.htaccessをアップロードしなおす。パーミッションは604にする。
.htaccessの書き方はこちらが参考になるかも。
↑上記記事の「(3) 自分自身からのアクセスは無制限に許可し、自分以外からのアクセスをすべて拒否」を参考に、応用してみました。
あと、ファイルのwp-ad min(ダッシュボードが入ってるフォルダ)にもアクセス制限かけてみました。
追記:2014/05/09・・・wordpress、adminファイル系の.htaccess制限時に気をつけたいこと
追記:2016/02/25・・・wordpress公式でのブルートフォースアタックの解説
追記:2018/04/09・・・Norton公式でのブルートフォースアタック解説
参考
Nortonブログ ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策
https://japan.norton.com/brute-force-attack-9215
****
特に不要な転送量とか増えてもこまりますしねー。
「ログイン画面自体にアクセスできなきゃ来ないだろう」という私の浅知恵ですが、さてこれでどうなるかな?
現在様子見中なので、結果わかったらまた記事更新します。
不正アクセスがくるのはもっぱら国外からですねー。
2014年分 対策状況
2014/03/15:プラグイン「狂骨」(WordPress のログイン履歴を保存するプラグイン「狂骨」 | dogmap.jp)でログインエラーを検索したところ、今のところゼロでした。Login LockDownの更新もきてた。
2014/04/04:ログインエラー「ゼロ」継続中です。とても静かになりました。とくにこのサイトのアクセスが減ったわけでもないです。ただ、SEOにどう影響するのかはよくわかってないです。静かなサイトライフを送りたいということであれば、ログイン関連のフォルダは.htaccessでの制限もひとつの手段だと思います。
2014/05/09:「login.phpにだけ、アクセス制限を適用する記述を追加する」を一旦はずしてみました。現在プラグイン「Login LockDown」と「adominファイルの.htaccess制限」で運用しています。現在様子見中。
2014/05/10:「login.phpにだけ、アクセス制限を適用する記述を追加する」を一旦はずした結果、 早速スパムきたよ 。
(#´Д`)ビキビキ
・・・というわけで元に戻しました。
結論:プラグインつかってても、login.phpは.htaccess制限したほうがいいです。
2015年分 対策状況
2015/08/24
wordpressのバージョンがあがって、プラグイン自体との互換性がうまくいかない状態が出てきたので見直しました。
今回はずしたプラグイン
「wp-ban」(理由はこちら:wordpressプラグイン WP-BANについてのメモ)
「login lockdown」(理由:互換性未確認のため)
「狂骨」(理由:互換性未確認のため)
今回導入したプラグイン
「Stealth Login Page」
ノートンのブログで紹介されていたので、これ1本だけ有効化して、後は.htaccessではじく設定で様子見。
不正ログイン・改ざんを防ぐWordPressのセキュリティ術~Norton blog
https://japan.norton.com/wordpress-security-5287
2016年分 対策状況
*レンタルサーバーロリポップのsecurity対策
「SiteGuard WP Plugin」を利用することを推奨しているようです。
(2016年4月追記:SEO最適化目指してるブログだとこのプラグインでブルートフォースアタックが防げなかったのではずしました。ロボットよけしている同人サイトならまだ利用できるかもしれない)
*さくらインターネットのセキュリティ対策
デフォで「WPsecurity」がプラグインとして入っているので、現在そっちで様子みてます。
参考外部リンク
最近やたらとWordPressが攻撃されて500エラーになるので行ったセキュリティー対策まとめ ~寝ログ
All In One WP Security & Firewallの設定まとめ(Blacklist Managerまで) ~beek
2017年分 対策状況
さくらインターネットにして、webアプリケーションファイアウォール使い始めてから、特にこちらで対策する必要がなくなりました。セキュリティ保護に関してはほぼさくらインターネットにお任せ状態。楽です。
ただ、こういったことがあったので(さくらのレンタルサーバーで困っていること)CMSというwordpressの拡張利用+セキュリティをうまく効かせるってのは難しいんだなーと思っているところです。
WAF(ウェブアプリケーションファイアウォール)の機能詳細│さくらインターネット
さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点
-Gatespace’s Blog
https://gatespace.jp/2013/07/25/sakura-wordpress-waf/
↑上記記事を要約すると、「WAFはwordpressのダッシュボードと相性が悪いのでチューニングが必要」
2018年分 対策状況
2018/02/15分
ブルートフォースアタックの標的になるファイル「xmlrpc.php」の存在にようやく気がつく。
「xmlrpc.php」はwordpressインストールしたときからもともと入ってるものだそうです。
これを「htaccess」の設定で
サーバー負荷かけないようにする
+
外部アクセスはじく設定
があるらしいので現在さくら以外のレンタルサーバーに導入して検証中です。
参考: ものづくりエクスペリメント
wordpressのxmlrpc.phpに対するブルートフォースアタックを防ぐ
http://denshikousaku.net/protect-wordpress-xmlrpc-php-from-brute-force-attack
2020~2021年分 対策状況
2018年に標的となる「xmlrpc.php」を防御する設定にしたところそれ以来、アタックくることなく落ち着いています。
今現時点で利用中のセキュリティプラグインは
SiteGuard
他サイトで利用
All In One WP Security
Stealth Login Page
だけです。
2022年 対策状況
セキュリティプラグインは2020から変わらないです。
それに加えて、Cpanel本体でブロックを追加しました。