誰でも気軽に設置できるからこそ世界中から狙われやすいWordpress。乗っ取られたら、はいおしまい
今やボタン一つで誰でも簡単に設置できるWordpress。しかしセキュリティ的には非常に脆弱であることを認識する必要があります。
何が一番の問題かと言うと、管理画面のURLが誰でも簡単にわかること。
例えばhttps://nantoka.comというサイトがWordpressで作れているとしたならば、https://nantoka.com/wp-admin/に管理画面があることは容易に想像がつきます。そしてID・パスワードがadminやtestだった日には・・・。もう乗っ取られ決定です。
乗っ取られると様々な被害を受けます。下記は一例ですが、
- コンテンツを全て消される
- コンテンツを卑猥なものに差し替えられる→運営者が責任を問われる可能性あり
- コンテンツの中に悪意のあるプログラムを注入される→アクセスしてきた一般人がウイルス感染したり、他のサーバーに攻撃をしかけたり
なんて事が考えられます。
偉そうにこんなこと書いていますが、かく言う私も以前サーバーが乗っ取られた事がありまして(汗)
その時は悪意あるプログラムが埋め込まれ、知らずにホワイトハウスを攻撃していました(滝汗)日本の警察から電話がきて事情が発覚した次第です。口頭注意で済んだものの、被害の大きさによってはサーバー管理責任が問われてもおかしくありません。
同じ轍を踏まないよう、Wordpressを利用しているみなさんはセキュリティ対策を施しましょう。
導入するプラグインはこれ
はい、SiteGuard WP Pluginです。
どんな機能があるか見ていきましょう
Contents
管理ページアクセス制限機能
wp-adminディレクトリ配下に様々な管理ファイルがあることは既にわかっています。それらのファイルに直接アクセスされて攻撃されないよう、こちらの機能でブロックします。
とは言え、予想できない不具合が発生する可能性があるので、こちらはOFFのままで良いと思います。
ログインページ変更機能
先ほども申し上げましたが、/wp-admin/にアクセスすれば管理画面があることを誰もが知っています。これは結構まずい。
と言うことでwp-adminというディレクトリ名称を変更する事ができます。これだけでも多くの攻撃をかわす事ができるでしょう。
ログイン画面画像認証機能
この機能をONにするとログインする際、IDパスワード以外に「ひらがな」の入力を求められます。
この「ひらがな」を入力させるというのが絶妙にツボですよね。私たちにとっては簡単な認証ですが、海外からの不正アクセスの多くは防ぐ事ができるでしょう。
ログイン詳細エラーメッセージの無効化
エラーメッセージは、実は攻撃者を助けているんです。
例えば不正にIDとパスワードを入力し、「パスワードが違います」というエラーメッセージが出た場合。その場合、攻撃者は「パスワードは違うけどIDは合っているんだな」と解釈します。よって、その後はパスワードアタックのみに集中して攻撃を仕掛けてくるのです。
この機能をONにすると、全てのエラーメッセージが同じ内容になります。よって何が合っていて、何が合っていないのか、攻撃者には判らなくなる、という寸法です。
ログインロック機能
手動でポチポチしながらID・パスワードを探っていく、なんて攻撃者はいません。1秒間に数十・数百という文字列を自動入力し、攻撃をしてきます。
この機能を使えば一度ログインを失敗すると、数秒待たないと再試行できないようにできます。また試行回数も決める事ができます。
これを使えば鬼のような自動試行プログラムも焦らされてイライラし、諦めること間違いなし。
ログインアラート機能
不正ログインがあった場合、メールを送ってくれる機能。不正アクセスは気づかないのが一番まずい。
気づきさえすれば(どうすれば良いのかさっぱり判らなかったとしても)一時的にシャットダウンするなどの対策が取れますからね。
この機能を利用すればログインアラートをメールで送ってくれます。
フェールワンス機能
日本語にすると「一度失敗機能」。正しいログイン情報を入力しても1度はログイン失敗し、数秒後にもう一度入力するとログイン成功する機能です。
XMLRPC防御機能
WordPressではデフォルトでリモートプロシージャーコール機能というのが作動しているのですが、その機能を無効化するもの。これが何だか判らない人はOFFにしておきましょう。
これをONにすることで、管理画面で記事を書いていると「下書きを保存しています」の状態から動かなくなり、下書き保存も公開ボタンも押せなくなる、という報告もあります。
更新通知機能
常にプログラムを最新版にする、というのはセキュリティ対策としては非常に基礎的な対応です。
この機能をONにするとWordpressやプラグイン、テーマに更新がある際にメールで知らせてくれます。
WAFチューニングサポート機能
これはJP-Secure社のWAF(Web Application Firewall)を別途購入した人用の設定です。大規模サイトでは利用を考えてみても良いでしょう。
IPアドレス取得方法選択
通常はデフォルトのママで良いでしょう。WEBサーバの前にプロキシサーバやロードバランサーが配置されていると、それらのIPアドレスが記録される事があります。全てのアクセスが、それらのIPアドレスで記録されるので、ちょっと困ったことに。
そんなお悩みを持つ人は、こちらのX-Forwarded-Forのレベルを変更してみましょう。
そして最後にログイン履歴
いつ誰がログインしたか、全て記録されます。
ロギングは全ての基本。情報が残っていなければ何も対応できません。
以上SiteGuard WP Pluginのご紹介でした。
うちだけは大丈夫、なんてことは絶対ありません。なにせ攻撃者は自動スクリプトでWordpressのサイトを自動的に発見し、自動的に攻撃してくるのです。アクセス数少ないから大丈夫、なんてことはありません。
WordPressをインストールしたその日のうちに、すぐにこのプラグインをインストールし、不正アクセスから身を守りましょう。