wordpressの不正アクセスをベッキベキに防ぐ方法を探してみた。

2017年9月13日

このサイト、コメント欄は切ってます。スパムきたときの管理がめんどくさいというのがその理由です。

が。

管理画面の不正ログインしようとするやつらがなんかIP変えて性懲りも無くくる。

「アクセス制限するプラグイン」とか、「ログインを制限してセキュリティ対策するプラグイン」とか使ってるんです。これでも。昨日不正アクセスエラー見たらなんかすんごいログでてて、総当り攻撃=ブルートフォースアタックってのが900回以上きてた。
アタックして来た履歴はこちらで見れます。今回はパリからきてた)

(#´Д`)

すごくめんどくさいので、ログインに関する特定ファイルだけ.htaccessアクセス制限をかける方法を使いました。

手順は

1・サーバー上にあるwordpressのファイルの中にある.htaccessをダウンロード
2・テキストで開いて保存
3・wordpressのlogin.phpにだけ、アクセス制限を適用する記述を追加する。
4・出来上がった.htaccessをアップロードしなおす。パーミッションは604にする。

.htaccessの書き方はこちらが参考になるかも。

指定ファイルへのアクセスを拒否する方法:AllAbout

↑上記記事の「(3) 自分自身からのアクセスは無制限に許可し、自分以外からのアクセスをすべて拒否」を参考に、応用してみました。
あと、ファイルのwp-ad min(ダッシュボードが入ってるフォルダ)にもアクセス制限かけてみました。

追記:2014/05/09・・・wordpress、adminファイル系の.htaccess制限時に気をつけたいこと

WordPressの「admin-ajax.php」エラー解消法 | Kimiya Kitaniの徒然なるブログ

 
追記:2016/02/25・・・wordpress公式でのブルートフォースアタックの解説

ブルートフォース攻撃 – WordPress Codex 日本語版

****

特に不要な転送量とか増えてもこまりますしねー。
「ログイン画面自体にアクセスできなきゃ来ないだろう」という私の浅知恵ですが、さてこれでどうなるかな?
現在様子見中なので、結果わかったらまた記事更新します。

不正アクセスがくるのはもっぱら国外からですねー。

*****
追記 2014年分
*****

2014/03/15:プラグイン「狂骨」(WordPress のログイン履歴を保存するプラグイン「狂骨」 | dogmap.jp)でログインエラーを検索したところ、今のところゼロでした。Login LockDownの更新もきてた。
2014/04/04:ログインエラー「ゼロ」継続中です。とても静かになりました。とくにこのサイトのアクセスが減ったわけでもないです。ただ、SEOにどう影響するのかはよくわかってないです。静かなサイトライフを送りたいということであれば、ログイン関連のフォルダは.htaccessでの制限もひとつの手段だと思います。
2014/05/09:「login.phpにだけ、アクセス制限を適用する記述を追加する」を一旦はずしてみました。現在プラグイン「Login LockDown」と「adominファイルの.htaccess制限」で運用しています。現在様子見中。

2014/05/10:「login.phpにだけ、アクセス制限を適用する記述を追加する」を一旦はずした結果、 早速スパムきたよ 。
(#´Д`)
・・・というわけで元に戻しました。
結論:プラグインつかってても、login.phpは.htaccess制限したほうがいいです。

*****
追記 2015年分
*****

2015/08/24
wordpressのバージョンがあがって、プラグイン自体との互換性がうまくいかない状態が出てきたので見直しました。
今回はずしたプラグイン
「wp-ban」(理由はこちら:wordpressプラグイン WP-BANについてのメモ
「login lockdown」(理由:互換性未確認のため)
「狂骨」(理由:互換性未確認のため)

今回導入したプラグイン
「Stealth Login Page」
ノートンのブログで紹介されていたので、これ1本だけ有効化して、後は.htaccessではじく設定で様子見。

不正ログイン・改ざんを防ぐWordPressのセキュリティ術~Norton blog
https://japan.norton.com/wordpress-security-5287

*****
追記 2016年分
*****

*レンタルサーバーロリポップのsecurity対策
SiteGuard WP Plugin」を利用することを推奨しているようです。
(2016年4月追記:SEO最適化目指してるブログだとこのプラグインでブルートフォースアタックが防げなかったのではずしました。ロボットよけしている同人サイトならまだ利用できるかもしれない) 

*さくらインターネットのセキュリティ対策
デフォで「WPsecurity」がプラグインとして入っているので、現在そっちで様子みてます。

参考外部リンク
最近やたらとWordPressが攻撃されて500エラーになるので行ったセキュリティー対策まとめ ~寝ログ
All In One WP Security & Firewallの設定まとめ(Blacklist Managerまで) ~beek

*****
追記 2017年分
*****

さくらインターネットにして、webアプリケーションファイアウォール使い始めてから、特にこちらで対策する必要がなくなりました。セキュリティ保護に関してはほぼさくらインターネットにお任せ状態。楽です。

ただ、こういったことがあったので(さくらのレンタルサーバーで困っていること)CMSというwordpressの拡張利用+セキュリティをうまく効かせるってのは難しいんだなーと思っているところです。

WAF(ウェブアプリケーションファイアウォール)の機能詳細│さくらインターネット

https://www.sakura.ad.jp/function/security/waf.html

さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点
-Gatespace’s Blog
https://gatespace.jp/2013/07/25/sakura-wordpress-waf/

↑上記記事を要約すると、「WAFはwordpressのダッシュボードと相性が悪いのでチューニングが必要」

●。PR:レンタルサーバー

このサイトは、さくらのレンタルサーバ スタンダード
を利用しています

アニメ、ゲーム、コミックなどの創作(同人)活動を応援します!JSNレンタルサーバー
↑大人同人は申請制で利用可能
月額480円からのパワフルで高速なクラウドレンタルサーバー MixHost
↑日本の会社。大人向けOKで、当サイト管理人が現在サブで運用中のレンタルサーバー
★月額100円(税抜)~/WordPress簡単インストール! ロリポップ!レンタルサーバー ★
↑とにかく安く、かわいいURLではじめたいなら
独自SSLが無料!クラウド型高速レンタルサーバーが月額126円(税抜)から!スターサーバー
↑広告なしの無料レンタルサーバーも併設
WordPressの運用に特化したレンタルサーバー『wpXレンタルサーバー』
↑来訪者多くて安定したwordpress運営したい人向け
フレンドサーバー
↑海外サーバー。大人向けok


**独自ドメインで本格的にやりたいならあわせて↓**
年間920円(税抜)からの格安ドメイン取得サービス─ムームードメイン─

ドメイン取るならお名前.com

●。スポンサーリンク











●。