マジカルスリー・だいすけのなりゆき長者ブログ

沖縄/大阪WEB広告・ホームページ制作・印刷物制作 マジカルスリー 「福」代表のブログ

*

WordPress 不正アクセスとの飽くなき戦い

      2017/03/12

Pocket

不正アクセス・・・それはWEB黎明期から行われてきた悪しき犯罪。

これらと日々戦う者達がいた。

 

はーい、俺ちゃんです☆(軽い)

 

さて、不正アクセス嫌ですねえ。

何が嫌かって、乗っ取られたらサイトがウィルスばら撒くじゃん?

ばら撒いたらまた感染者が不正アクセス攻撃かけるじゃん?

ねずみ講みたいなもんですよ・・・。さあ、大変。

 

WordPressの不正アクセスはほとんどがブルートフォースアタックと相場が決まっております。

要するに感染したBOTと呼ばれるウィルスでゾンビ化したPCが力技でこじ開けてくるというシロモノが多いのです。

んで、「そんなこと言って本当に来てるの?」っていうすこ~し平和ボケなあなたに弊社のお客様事例を・・・。

20150731 195428

 

めっちゃきてるやん!

ゲームでたとえるなら、バイオハザード状態?

ウィルスに感染したPC達が襲ってくる様子(擬人化)

 

さて、冗談はさておき・・・実際にはadmin、root、ドメイン名などをユーザー名に当てはめた総当たり攻撃が来ています。
皆様、Wordpressの管理者ユーザー名は間違ってもこの3パターンはナシの方向で。

ウチは全部ユーザー名変更済みですので、「当たらなければどうということはない!」と余裕を見せつけております。

しかしながらあまりにも攻撃が多かったので、後日お客様に許可をとって国外IPからのWordpressログインをハネるようにしました(。・ω・。)

検知&ガードは下記のプラグインを使用しています。

Limit Login Attempts
https://wordpress.org/plugins/limit-login-attempts/

Limit Login Attempts日本語化
http://fukuyama.co/limit-login-attempts-ja

 

ログイン失敗したIPを検知し、指定回失敗した場合指定時間ロックアウト(出入り禁止)にするプラグインです。

ウチは3回失敗で6時間ロックアウト、3セットロックアウトで72時間ロックアウトという若干厳しめ設定でございます。

皆様、他の皆様に迷惑をかけないよう、せめて上記プラグイン位は入れておきましょう。
もちろんパスワード8桁以上、できれば12桁以上でよろしくおねがいします!
ちなみにCPIのWordpress自動インストールははじめからこれが入っていてとても優秀です(。・ω・。)
CPIいいですよ?良かったらこの機会に乗換えてみては?

2016/01/22追記:

ほんっと不正アクセスって諦めが悪いですね(botだから当然か・・・)

プラグインで弾いているのはわかってるんですが、あんまりにもログを増やしていくのでログに残ってるIPを直接指定して.htaccessで弾くことにしています。

これで攻撃すら出来ずにbotは帰っていくものと思われます。(陳腐な言い方をするとIP指定でバリアーを張ったようなものです)

この.htaccessの編集の仕方はこちらの記事で書いております(。・ω・。)

 - WordPressの事

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  関連記事

All-in-One Event Calendarでエラー「イベントの取得中に何かがうまくいきませんでした。」

使い慣れないプラグインは変なことが起こるのでびっくりデスよ。 表題のエラーが起こ …

新着情報などでAll-in-One Event Calendarのカテゴリ名を表示する方法

ハマりました。 ドハマリしました。侮ってました。 「カテゴリ出力するだけでしょ。 …

WordPressでよく使うコードまとめ

完全に自分用です。 View the code on Gist.  

WordPressの検索機能をもっと使いやすくする

とってもわかりやすい記事がありましたので紹介! WEBクリエイターズボックス様 …

WordPressの検索欄が未入力で全件表示してしまう件

間違えて空欄で検索した時に全件表示・・・。 バグでもエラーでもないんですがなんか …

WordPressのページを印刷しようとするとスタイルが崩れる

WordPressのページを印刷しようとするとガタ崩れする時があると思います。 …

アーカイブページでタームごとに記事一覧を出力する

カスタム投稿の記事一覧を出したい ターム名1(カスタム投稿の「カテゴリ名」のよう …

カスタムフィールドの画像をアイキャッチに自動登録

毎度おなじみ自分への忘備録です。   投稿時にカスタムフィールドの画像 …

プラグイン無しで外部サイトのRSSを表示するRSSリーダー的なもの

外部RSS(ブログの新着記事)を読み込む案件があったので「プラグインでええよなー …

WordPressで記事ごとに簡単リダイレクト「Page Links To」

WordPressの記事を別ページに置き換えたくなるときってありませんか? たと …