WordPress 不正アクセスとの飽くなき戦い
2017/03/12
不正アクセス・・・それはWEB黎明期から行われてきた悪しき犯罪。
これらと日々戦う者達がいた。
はーい、俺ちゃんです☆(軽い)
さて、不正アクセス嫌ですねえ。
何が嫌かって、乗っ取られたらサイトがウィルスばら撒くじゃん?
ばら撒いたらまた感染者が不正アクセス攻撃かけるじゃん?
ねずみ講みたいなもんですよ・・・。さあ、大変。
WordPressの不正アクセスはほとんどがブルートフォースアタックと相場が決まっております。
要するに感染したBOTと呼ばれるウィルスでゾンビ化したPCが力技でこじ開けてくるというシロモノが多いのです。
んで、「そんなこと言って本当に来てるの?」っていうすこ~し平和ボケなあなたに弊社のお客様事例を・・・。
めっちゃきてるやん!
ゲームでたとえるなら、バイオハザード状態?
ウィルスに感染したPC達が襲ってくる様子(擬人化)
さて、冗談はさておき・・・実際にはadmin、root、ドメイン名などをユーザー名に当てはめた総当たり攻撃が来ています。
皆様、Wordpressの管理者ユーザー名は間違ってもこの3パターンはナシの方向で。
ウチは全部ユーザー名変更済みですので、「当たらなければどうということはない!」と余裕を見せつけております。
しかしながらあまりにも攻撃が多かったので、後日お客様に許可をとって国外IPからのWordpressログインをハネるようにしました(。・ω・。)
検知&ガードは下記のプラグインを使用しています。
Limit Login Attempts
https://wordpress.org/plugins/limit-login-attempts/
Limit Login Attempts日本語化
http://fukuyama.co/limit-login-attempts-ja
ログイン失敗したIPを検知し、指定回失敗した場合指定時間ロックアウト(出入り禁止)にするプラグインです。
ウチは3回失敗で6時間ロックアウト、3セットロックアウトで72時間ロックアウトという若干厳しめ設定でございます。
皆様、他の皆様に迷惑をかけないよう、せめて上記プラグイン位は入れておきましょう。
もちろんパスワード8桁以上、できれば12桁以上でよろしくおねがいします!
ちなみにCPIのWordpress自動インストールははじめからこれが入っていてとても優秀です(。・ω・。)
CPIいいですよ?良かったらこの機会に乗換えてみては?
2016/01/22追記:
ほんっと不正アクセスって諦めが悪いですね(botだから当然か・・・)
プラグインで弾いているのはわかってるんですが、あんまりにもログを増やしていくのでログに残ってるIPを直接指定して.htaccessで弾くことにしています。
これで攻撃すら出来ずにbotは帰っていくものと思われます。(陳腐な言い方をするとIP指定でバリアーを張ったようなものです)
この.htaccessの編集の仕方はこちらの記事で書いております(。・ω・。)
関連記事
-
-
サムネイルをいちいち入れるのめんどくさい人に Default Thumbnail Plus
めんどくさがりやーな「だいすけ」です。 こんにちは。 WordPressのサムネ …
-
-
Lightbox系プラグイン「Easy FancyBox」
特に意識すること無くLightbox(ふわっと写真を別ウィンドウで表示する)を使 …
-
-
category.php内で現在のカテゴリを取得する
カテゴリの取得でハマったので忘備録しておきます。 いつもはget_the_cat …
-
-
WordPressで記事を取得、ループしたいときに-その2
WordPressで記事を取得したいんだけど・・・ WordPressで記事を取 …
-
-
PHPでページの一部の文言だけを更新する方法
サイトのページの一部だけをブラウザから更新したい、だけどCMSとか入れるほどでも …
-
-
サイトに重大なエラーがありました。と出てきて顔面蒼白になる
WordPressを使っていると稀にこの事象に出くわします。 バックアップが運良 …
-
-
.htaccessに最低限設定しておいたほうが良いこと
簡単で結構効果のあるセキュリティとして.htaccessの設定がありますが、最低 …
-
-
Sugar Events Calendar Lite 中国語化
以前のブログの再掲載です(なくなると困る記事なので・・・) Sugar Even …
-
-
All-in-One Event Calendarでエラー「イベントの取得中に何かがうまくいきませんでした。」
使い慣れないプラグインは変なことが起こるのでびっくりデスよ。 表題のエラーが起こ …
-
-
GravatarでWordPressのアバターを作ろう
最近物忘れがヒドイ、だいすけです。 テーレッテレー!! ついこの前、ワードプレス …