ページ コンテンツ

ぞうブロ~ぞうべいのたわごと

妄想を武器に現実と闘う、不惑のエンジニアのブログ

トップ > ネット、パソコン > Wordpressへの不正ログイン対策。体験談、おすすめプラグイン

Wordpressへの不正ログイン対策。体験談、おすすめプラグイン

ネット、パソコン

スポンサードリンク

Wordpressでブログを始めた方なら、結構な人がこの被害に遭っているのではないでしょうか。

そう、不正ログイン攻撃、いわゆる「ブルートフォースアタック(Brute-force attack)」です。

不正ログイン攻撃とは何か?そして、対応策は?

実体験をもとに、書いてみます。

不正ログイン攻撃とは

不正ログイン攻撃(=ブルートフォースアタック)は、いわば「絨毯爆撃」です。

マンションのドアを片っ端からノックしまくるかのごとく、専用ソフトを使ってログイン画面で片っ端から文字入力し、IDとパスワードを当ててしまおうというものです。

ある意味原始的ですが、運悪く当たってしまって一旦侵入を許してしまうと、大切なブログやサイトが乗っ取られ、文字通りめちゃくちゃにされてしまいます。

wordpressは世界中で使われていて便利な反面、こういう攻撃の対象になりやすいようです。

私の友人は、ある日突然、一世を風靡した「イ○ラム国」にサイトが乗っ取られ、彼らの宣伝サイトに書き換えられてしまったそうです。。

放置しておくとドメインもブラックリスクに載ってしまう恐れがあるため、内容を消し去らないといけなかったそうです。

幸いデータはバックアップから復元できたとのことでしたが、

そんな恐ろしい目に遭わないために、最低限、次の対策は行っておきましょう。

対策〜使ったプラグイン

私がやったことは以下の4つです。

パスワードを変更

これは当然かつ簡単です。ドメイン名などから予測できる文字は避けて、できるだけ長く、かつ不規則な文字列にしましょう(自分が忘れない程度に)。

ちなみに、IDが「admin」とか「ドメインと同じ」とかだと、非常に危険です。合わせてチェック、変更しましょう。

Login rebuilder

不正ログイン攻撃は「たくさんの家のドアを片っ端から叩きまくる」ことなのですが、このプラグインで「玄関のドアを、他の場所に変える」ことができます。

具体的には、ログインのアドレス(「wp-admin」や「wp-login.php」)を、

自分専用の文字列に変更し、ログインのURLを変えます。

これは本当に、効果絶大です。

事実、この2つだけで、見事なくらいピタッと攻撃が止みました。

あとは興味本位で、

Crazy Bone

このプラグインを使うと、不届き者たちがどこから、どんなユーザー名で攻撃してきているのか、こんなかんじで一目で分かります。

img_7701

私の場合は、ロシアとマレーシアから熱烈オファーを受けてました笑

やはり、adminとかドメイン名をユーザー名はしておくのは危険だと分かります。

この3つで十分だと思いますが、もしものとき用に

Siteguard WP Plugin

このプラグインを使えば、画像認証やひらがな認証が追加でき、より盤石なガードができます。無差別爆撃してくるコンピュータや外国人は、ほぼ完璧に撃退できます。

これでまず100%、不正ログイン攻撃は撃退できたと思います。

これらのプラグインの設定方法は、すべてここ↓を参考にさせていただきました。

http://tanweb.net/2016/07/05/2299/

簡潔で、大変分かりやすかったです。ありがとうございます。

 

私の体験談(忙しい方は飛ばしてください汗)

知識ゼロから悪戦苦闘してブログを立ち上げ、
さあこれからだ!と意気込んでいた矢先。

不気味な現象が起こり始めました。

「あれ・・・?なんか急に数字増えてない??」
「ブロックされた悪意あるログイン試行」が、昨日まで20くらいだったのに、
一日でいきなり275にまで増えているのです。

img_7700

とはいえ、まだまだ、
「ほう戦闘力275…こんな奴もいたのか。だが所詮俺の敵ではない」
 などと、某ラディッツさんに一蹴されるレベル。

このとき、ちょうどネット先輩の友人たちと麻雀をしていたのですが、
「まあ、よくあることやで。俺は一度、自分のサイトがイ○ラム国に乗っ取られたけどねww」
「熱烈オファーやなー、イ○ラム国からドラ1指名間違いなしやんww」
などと呑気に笑う友人たち。

内心焦りながらも、まあすぐ収まるだろうと放置し、安心して振り込み続けるのでした。

そんな間にも、不正アクセスはどんどん増え続け、翌日ついに1000の大台を突破。

img_7703

ついでにスパムコメントもセットでついてきた。

ラディッツ「バカな!!戦闘力があがっていく!!戦闘力1054!!」

その後も、

img_7704

ナッパ「バカな!栽培マンの戦闘力は1200だぞ!パワーだけならラディッツと匹敵する!」

ベジータ「もうすぐここにやってくる…戦闘能力5000ほどのやつが…!」

ナッパ「!?」

img_7702
ベジータ「(スカウターを握り潰し)6000以上だ!!」

止まらないどころか、どんどん修行して強く…じゃなくて加速していく不正アクセスの伸び。

ものの4日で、なんと6000超え。

ビビる反面、ここまで来ると、どこまで伸びるか、ある意味楽しみになっている自分がいました笑

でも、さすがにふざけているわけにもいかず、イ○ラム国に大切なブログを乗っ取られるわけにもいかないので、対策を講じることにしました。

結局、上記対策によって、戦闘力の向上はピタッと止まりました。

「私の戦闘力は530000です」のお方を目標にしていたにもかかわらず、

ベジータにも瞬殺される程度で終わらせてしまったので、少し残念ですが。

なお、ドラゴンボールの戦闘力、セリフはここを参考にさせて頂きましたm(__)m ※一部戦闘力を変えてます、ご了承ください笑

http://dragonball-neta.com/post-714.html

何はともあれ、不正アクセス攻撃を止めることができました。

これで安心してブログを書き続けられます!