So-net無料ブログ作成
検索選択

Wordpressへのブルートフォースアタック対策5箇条

私のWordpressサイトへのアクセスを見ていると、海外からブルートフォースアタック(総当り攻撃)が毎日相当な数あるので、対策をまとめてみた。

主な対策:
1.パスワードを複雑にする
2.adminユーザーを消す
3.ログインエラーメッセージを消す
4.ログイン画面への海外からのアクセス制限
5.セキュリティプラグインで画面ロック

wordpress-security-books.JPG
今回参考にした本

●今回は内容が特殊なので、Nice!の受付は遠慮させて頂きますm(_ _)m

Wordpressへのブルートフォースアタック対策5箇条


1.パスワードを複雑にする


重要度 ☆☆☆☆☆
どんな場合でもセキュリティの基本はパスワードを複雑にすることだ。
大文字、小文字、数字、記号を組み合わせてつくった方が良い。


2.adminユーザーを消す


重要度 ☆☆
「adminユーザーを消す」というのは、どのWordpressのセキュリティの本にも必ず書いてあることだ。
でも、wordpressを自動インストールする場合、意識してユーザー名をadminにしない限り、ユーザー名がadminになることはないのではないか?

それに最近のアタックは、ソースからユーザー名を調べてから仕掛けてくることが多い(下の図を参照)ので、現在ではあまり意味はないように思われる。

wordfence-failedlogin.JPG

3.ログインエラー・メッセージを消す


重要度 ☆
Wordpressのログインエラー・メッセージには、エラーの理由が表示されるので、ハッカーにはユーザー名が違うかパスワードが違うかわかってしまう。それで、このメッセージを消すように勧めているセキュリティの専門家が多い。

ただ、これも2.で言っている通り、ユーザー名が調べられているのなら、あまり意味がないように思う。

いちおう消し方だが、

使用しているテーマのfunction.php に1行追加する

記述例:
  add_filter(‘login_errors’, create_function(‘$a’, “return null;”)); 


でも、テーマを更新する毎に作業しないといけないので、面倒だ。
重要度から言っても、やる必要はないように思う。


4.ログイン画面への海外からのアクセス制限


重要度:☆☆☆☆☆
ブルートフォース攻撃はほとんど海外からのものだ。
だから、ログイン画面 wp-login.php への海外からのアクセスを制限する。
加えて、xmlrpc.phpへのアクセス制限もしないといけない。


xmlrpc.phpとは、APIを使って記事の投稿するためのphpプログラム。wp-login.phpと同様にブルートフォース攻撃で狙われている。
xmlrpc.phpは、使わない人も多いと思う。使わなければ、全般的にアクセス禁止にしてしまえば良い。


「.htaccess」 に記述する方法が一般的かと思われる。
たとえば、こんな感じ…

<Files wp-login.php>
order deny,allow
deny from all

allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
allow from 1.5.0.0/16
allow from 1.21.0.0/16
allow from 1.33.0.0/16
allow from 1.66.0.0/15
allow from 1.72.0.0/13
allow from 1.112.0.0/14
allow from 14.0.8.0/22
allow from 14.1.4.0/22
allow from 14.1.8.0/21
(中略)
allow from 223.223.208.0/21
allow from 223.223.224.0/19
</Files>

<Files xmlrpc.php>
order allow,deny
Deny from all
</Files>


でも、ここでは wp-ban というプラグインを紹介したい。
なぜかと言うと、最近、ブルートフォースアタック以外に脆弱性のあるプラグインを狙うアクセスが急増しているので、そちらへの対策にも便利だと思うからだ。
(「.htaccess」でも対策できるが面倒な気がする…)

wp-ban-title.JPG

wp-banは、アクセス拒否をいろいろなかたちで設定できる。

wp-ban.JPG

IPアドレス 例)192.168.1.*
IPアドレスの範囲で指定 例:192.168.1.1-192.168.1.255
ホストネーム 例) *.cn(中国)
リファラー 例:http://*.hogehoge.com
ユーザーエージェント 例:LMQueueBot*

これは有名なプラグイン wordfence security なら39ドル払ってプレミアムバージョンにしないと使えない機能なので、ありがたいことだ。

ただし、Googlebotを弾いてしまわないように注意する必要がある。


5.セキュリティプラグインで画面ロック


重要度:☆☆☆☆
さらに、一定回数以上ログインエラーを繰り返したら、Wordpressにログインできなくなるプラグインを使うと安全だ。

たとえば、次のようなプラグイン。
・Login Lockdown
・Limit Login Attempt
・UserLocker
・iThemes Security

私は以前は、UserLockerを使っていたが、長い間(4年以上)更新されていないのでかえって危険と思い、iThemes Securityに変更した。

iThemesはかなり多機能で、オールインワンで安全対策ができる。
反面、脆弱性スキャン時などメモリを食うので、サーバー側でメモリ領域の不足になってしまう恐れもある。安価なサーバーを使っている人は慎重にした方が良いかもしれない。

wpXのようなwordpress専用サーバーであれば、サーバー側でブルートフォースアタック対策が取られているので、こんなに苦労しなくて良い。おすすめ。
wpXの詳細を見る

参考サイト:wpXサーバーの感想


WORDPRESSセキュリティ対策 基本マニュアル

WORDPRESSセキュリティ対策 基本マニュアル

  • 出版社/メーカー: Lotus Web Studios
  • 発売日: 2012/12/05
  • メディア: Kindle版


タグ:wordpress
トラックバック(0)  [編集]
共通テーマ:blog

トラックバック 0

トラックバックの受付は締め切りました
Copyright © ヘミシンクの世界 All Rights Reserved.
当サイトのテキスト・画像等すべての転載転用、商用販売を固く禁じます