wordpressの不正アクセスをベッキベキに防ぐ方法を探してみた。

2018年2月15日

初回公開日時: 2014年3月7日 @ 18:31 より随時更新中。追記増えたら更新アゲします。

このサイト、コメント欄は切ってます。スパムきたときの管理がめんどくさいというのがその理由です。

が。

●。スポンサーリンク





●。

管理画面の不正ログインしようとするやつらがなんかIP変えて性懲りも無くくる。

「アクセス制限するプラグイン」とか、「ログインを制限してセキュリティ対策するプラグイン」とか使ってるんです。これでも。昨日不正アクセスエラー見たらなんかすんごいログでてて、総当り攻撃=ブルートフォースアタックってのが900回以上きてた。
アタックして来た履歴はこちらで見れます。今回はパリからきてた)
(#´Д`)ビキ

すごくめんどくさいので、ログインに関する特定ファイルだけ.htaccessアクセス制限をかける方法を使いました。

手順は

1・サーバー上にあるwordpressのファイルの中にある.htaccessをダウンロード
2・テキストで開いて保存
3・wordpressのlogin.phpにだけ、アクセス制限を適用する記述を追加する。
4・出来上がった.htaccessをアップロードしなおす。パーミッションは604にする。

 
 
 
.htaccessの書き方はこちらが参考になるかも。

参考
指定ファイルへのアクセスを拒否する方法:AllAbout

↑上記記事の「(3) 自分自身からのアクセスは無制限に許可し、自分以外からのアクセスをすべて拒否」を参考に、応用してみました。
あと、ファイルのwp-ad min(ダッシュボードが入ってるフォルダ)にもアクセス制限かけてみました。

追記:2014/05/09・・・wordpress、adminファイル系の.htaccess制限時に気をつけたいこと

参考
WordPressの「admin-ajax.php」エラー解消法 | Kimiya Kitaniの徒然なるブログ

追記:2016/02/25・・・wordpress公式でのブルートフォースアタックの解説

参考
ブルートフォース攻撃 – WordPress Codex 日本語版

追記:2018/04/09・・・Norton公式でのブルートフォースアタック解説

参考
Nortonブログ ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策
https://japan.norton.com/brute-force-attack-9215

****

特に不要な転送量とか増えてもこまりますしねー。
「ログイン画面自体にアクセスできなきゃ来ないだろう」という私の浅知恵ですが、さてこれでどうなるかな?
現在様子見中なので、結果わかったらまた記事更新します。

不正アクセスがくるのはもっぱら国外からですねー。

2014年分 対策状況

2014/03/15:プラグイン「狂骨」(WordPress のログイン履歴を保存するプラグイン「狂骨」 | dogmap.jp)でログインエラーを検索したところ、今のところゼロでした。Login LockDownの更新もきてた。
2014/04/04:ログインエラー「ゼロ」継続中です。とても静かになりました。とくにこのサイトのアクセスが減ったわけでもないです。ただ、SEOにどう影響するのかはよくわかってないです。静かなサイトライフを送りたいということであれば、ログイン関連のフォルダは.htaccessでの制限もひとつの手段だと思います。
2014/05/09:「login.phpにだけ、アクセス制限を適用する記述を追加する」を一旦はずしてみました。現在プラグイン「Login LockDown」と「adominファイルの.htaccess制限」で運用しています。現在様子見中。

2014/05/10:「login.phpにだけ、アクセス制限を適用する記述を追加する」を一旦はずした結果、 早速スパムきたよ 。
(#´Д`)ビキビキ
・・・というわけで元に戻しました。
結論:プラグインつかってても、login.phpは.htaccess制限したほうがいいです。

2015年分 対策状況

2015/08/24
wordpressのバージョンがあがって、プラグイン自体との互換性がうまくいかない状態が出てきたので見直しました。
今回はずしたプラグイン
「wp-ban」(理由はこちら:wordpressプラグイン WP-BANについてのメモ
「login lockdown」(理由:互換性未確認のため)
「狂骨」(理由:互換性未確認のため)

今回導入したプラグイン
「Stealth Login Page」
ノートンのブログで紹介されていたので、これ1本だけ有効化して、後は.htaccessではじく設定で様子見。

不正ログイン・改ざんを防ぐWordPressのセキュリティ術~Norton blog
https://japan.norton.com/wordpress-security-5287

2016年分 対策状況

*レンタルサーバーロリポップのsecurity対策
SiteGuard WP Plugin」を利用することを推奨しているようです。
(2016年4月追記:SEO最適化目指してるブログだとこのプラグインでブルートフォースアタックが防げなかったのではずしました。ロボットよけしている同人サイトならまだ利用できるかもしれない) 

*さくらインターネットのセキュリティ対策
デフォで「WPsecurity」がプラグインとして入っているので、現在そっちで様子みてます。

参考外部リンク
最近やたらとWordPressが攻撃されて500エラーになるので行ったセキュリティー対策まとめ ~寝ログ
All In One WP Security & Firewallの設定まとめ(Blacklist Managerまで) ~beek

2017年分 対策状況

さくらインターネットにして、webアプリケーションファイアウォール使い始めてから、特にこちらで対策する必要がなくなりました。セキュリティ保護に関してはほぼさくらインターネットにお任せ状態。楽です。

ただ、こういったことがあったので(さくらのレンタルサーバーで困っていること)CMSというwordpressの拡張利用+セキュリティをうまく効かせるってのは難しいんだなーと思っているところです。

WAF(ウェブアプリケーションファイアウォール)の機能詳細│さくらインターネット

https://www.sakura.ad.jp/function/security/waf.html

さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点
-Gatespace’s Blog
https://gatespace.jp/2013/07/25/sakura-wordpress-waf/

↑上記記事を要約すると、「WAFはwordpressのダッシュボードと相性が悪いのでチューニングが必要」

2018年分 対策状況

2018/02/15分
ブルートフォースアタックの標的になるファイル「xmlrpc.php」の存在にようやく気がつく。

11,343のアタック。

「xmlrpc.php」はwordpressインストールしたときからもともと入ってるものだそうです。
これを「htaccess」の設定で

サーバー負荷かけないようにする

外部アクセスはじく設定

があるらしいので現在さくら以外のレンタルサーバーに導入して検証中です。

参考: ものづくりエクスペリメント
wordpressのxmlrpc.phpに対するブルートフォースアタックを防ぐ
http://denshikousaku.net/protect-wordpress-xmlrpc-php-from-brute-force-attack

 
 

2020~2021年分 対策状況

2018年に標的となる「xmlrpc.php」を防御する設定にしたところそれ以来、アタックくることなく落ち着いています。

今現時点で利用中のセキュリティプラグインは

SiteGuard

他サイトで利用
All In One WP Security

Stealth Login Page

だけです。

2022年 対策状況

セキュリティプラグインは2020から変わらないです。
それに加えて、Cpanel本体でブロックを追加しました。

記事はこちらです
Cpanel編・Yandexやcompute.amazonaws.comをブロックする方法

●。PR:レンタルサーバー

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
このサイトは、
パワフルで高速なピュアSSDクラウドレンタルサーバー
MixHost

を利用しています。
↑日本の会社。大人向けOKで、当サイト管理人がメインで動かしてます。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
アニメ、ゲーム、コミックなどの創作(同人)活動を応援します!Just-Size.Networks
↑大人同人は申請制で利用可能*2019年10月運営会社が「セブンアーチザン」へ変更になっています。
セブンアーチザンは国内最安級の99YENレンタルサーバー
やっている会社です
セブンアーチザンは2021年4月現在、無料ホームページも併設しており、登録強化中です
無料で使える容量無制限レンタルサーバー TOK2 FREE HOMEPAGE

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
さくらのレンタルサーバ スタンダード
↑安定性とセキュリティを気にする初心者なら、おすすめ。独自仕様も多いが、初めてのサイト作りなら気にならないです。

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

★月額100円(税抜)~/WordPress簡単インストール! ロリポップ!レンタルサーバー ★
↑とにかく安く、かわいいURLではじめたいなら

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
独自SSLが無料!クラウド型高速レンタルサーバーが月額126円(税抜)から!スターサーバー
↑広告なしの無料レンタルサーバーも併設。

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
【MINIPOPレンタルサーバー】
月額250円からの格安レンタルサーバーにもかかわらず、MySQL,POSTGRESSQL,PHP,CGI,WEBメール等が利用できる高機能レンタルサーバーです。大人向け運営OK

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
月額59円からのレンタルサーバーミニム
↑契約は3か月分からになります。有限会社ネットグルーヴワークス運営

 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
WordPressの運用に特化したレンタルサーバー『wpXレンタルサーバー』
↑来訪者多くて安定したwordpress運営したい人向け


**独自ドメインで本格的にやりたいならあわせて↓**
年間920円(税抜)からの格安ドメイン取得サービス─ムームードメイン─

【早い者勝ち!】.com/.net/.jp ドメイン取るならお名前.com

●。スポンサーリンク













●。