ゲーム大好きWEBデザイナーの雑記ブログ

WEB関係 超雑記

ブログが不正アクセスされそうになりました…【SiteGuardで対策】

更新日:

WordPressに不審なアクセスを発見…!

このブログはWordPressで運営しておりまして、

管理画面にアクセスするにはユーザー名・パスワードが必要なのですが…

ふとログイン履歴を確認してみると……?

めっちゃログインしようとしてる奴がいる。

残念ながらセキュリティ対策をしているので、速攻でロックされてますね。

ただし、ここで気になったのが「ログイン名」です。

なぜ隠しているかというと…ログイン名は正解だったから。

パスワードはバレてないけど、ログイン名がバレてるやんけ…。

WordPressのログイン名は誰でも見れてしまう

実は誰でもログイン名を確認することができます。

そう、おじいちゃんでもね。

たとえば、ログイン名を知りたいサイトURLの最後尾に「/?author=◯」(◯には数字)と入力するだけ。

これだけで、ログイン名がバレます。なんじゃそりゃと言いたくなりますが、仕様です。

WordPressのログイン名は、「そもそもバレても問題ないぜ^^」というのが公式の見解なのでしょう。

確かに大きな問題はないが…ログイン名を隠したほうが圧倒的にセキュリティが向上するのは間違いない。

だから本サイトでは「/?author=◯」に関しては対策済み。

見ようとしても404に飛ばされるので、簡単にはユーザー名を知ることはできない。



いや、だったらなぜバレたんだ?ということになりますが…

恐らく、「WP REST API」からログイン名がバレたと思われる。

この機能はJSON形式でデータが取得できるんですが…ユーザー名まで取得できてしまいます…。

あえて詳細は書きませんが、この機能を使えば誰でも簡単にWordPressのログイン名を見ることができます。

開発者にとっては便利な機能ですが、普通にWordPressでブログ書くなら縁がない機能。

知る人ぞ知る機能ですが、今回はここからログイン名がバレた可能性が高い。

こちらも対策は可能ですが、余計な不具合が出ても面倒なので、本ブログでは対策していません。

ログイン名を必死に隠すより、もっと他のセキュリティ対策を優先したほうが良いのです。

ブログのセキュリティは「SiteGuard」で対策

今回、ちょっと大げさなブログタイトルをつけましたが、

ぶっちゃけ、こんなものは日常茶飯事です。

仕事で10個以上のサイトを運営していますが、WordPressに不正アクセスしようとする輩はどこにでも湧いてきます(笑)

WordPressにはセキュリティ対策のプラグインを必ず入れましょう。
僕が愛用しているセキュリティ対策プラグインは「SiteGuard」。

インストールして有効化するだけでも、最低限のセキュリティは確保されます。

これで攻撃者のIPもバレバレです。

ログイン履歴の記録やフェールワンスなど、いろいろな機能がありますが、
とりあえず以下を有効にするだけでも”ほぼ鉄壁”のセキュリティになります。

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログインロック
  • ログインアラート

ぶっちゃけ、赤文字のやつだけ有効化すればほぼ鉄壁なんですが、念の為。

まず、ログインページのURLを変更するだけで大半の人はあきらめます。
仮にログインページにたどり着いても、ログインロックでIP弾かれてアウト。
そして万が一…いや、天文学的な確率でログインできたとしても、ログインアラートを設定しておけば、不正ログインにすぐ気づき対処することができます。

つまり、対策しているサイトに不正アクセスしようとしても無駄な努力です。

攻撃者は諦めて、さっさとセキュリティが甘いサイトに標的を切り替えることでしょう。

実は本サイトのログインページURLは「面倒だから別にいいや」と思って変更していませんでした。

だから今回みたいに不正アクセスを試みる奴が現れたわけです。

どうせパスワードは強固だし、ログインロックもかかるから安全なんですが、ログイン履歴がなんとなく鬱陶しいのでログインページも変更しておきました。


まとめ:ちゃんと対策すれば大丈夫

ということで、ブログが不正アクセスされそうになってヤバい!(ヤバくない)という話でした。

ログイン名が分かったところで、結局無意味ということです。

このブログに不正アクセス成功したとしても、たいしてメリットはないと思うんですがねぇ…。

不正アクセスを試みる人達にあえて餌をまき、ログインページにJavaScriptでイタズラ仕掛けるのも面白いなと最近考えてます(笑)

 

WordPressの脆弱性を狙った攻撃はまた別ですが、不正ログイン対策だけはきちんとしておきましょう。

信じ難いですが、パスワード”12345”とかアホみたいなことしてる人、いまだにいますからね…。

WEBの知識がなくても、分かりにくいパスワードを設定することは誰にでもできることです。

特定しにくいパスワードを設定し、「SiteGuard」でセキュリティを固めておけば、まず大丈夫です。







この記事をシェアする

関連記事

パソコン画面の操作をキャプチャしてGIFアニメにする方法

最近仕事でよく使うフリーソフト「LICEcap」を紹介します。 LICEcapはパソコン画面での操作をアニメーションとしてGIF画像で保存できる、便利なフリーソフトです。 仕事でWEBサイトを作り、W …

クリック率をアップさせるボタンはHTML+CSSだけで超簡単に作れます

Webサイトを作る時、ボタンのデザインは意外と重要です。 ボタンのデザイン次第でクリック率が変わってしまうのは、実際に身をもって体験しています。 ちょっと前まではPhotoshopでボタンを作ることが …

iPad版のPhotoshopが使いにくすぎて絶望した!「WEBデザイン無理です」

どうも、WEBデザイナー(笑)のERAです。 最近はPHPのプログラミングがメインですが、WEBデザインもひっそりと続けております。 iPad Proを持っているので、「せっかくならiPadでPSDデ …

Amazon緊急事態の詐欺メールが偶然にも役に立ってくれた話

先日、Amazonのクレジットカードの期限が切れてるから再登録してくれ、といった内容のメールが届きました。 送信者の名前が「Amazon緊急事態」……(笑) 少しでも知識のある人ならこの時点で笑ってし …

WordPressでユーザーを一括登録する「Import Users from CSV」の使い方

WordPressを複数のユーザーで管理したい時、1人ずつ登録するのは大変だと思います。 そんな時はWordPressのプラグイン「Import Users from CSV」を使って効率化しましょう …


  1. kanato より:

    今回の不正アクセスはセキュリティが高くて阻止できたので安心しましたね。

    私もGoogleアカウントを乗っ取られそうになり、Googleからスマホに警告が来てスゴく焦った記憶があります。
    いざ不正アクセスの対象になると、とても怖いものです。

    実際に私は「いつかは見破られるだろうな」と、乗っ取られても仕方がないと思って
    簡単なパスワードを使用していましたが、まさか本当に不正アクセスをされたときはビックリしました。

    信じ難い”12345″のパスワードよりは、ちょいムズのパスワードでしたが
    これを機にパスワードの変更と2段階認証でセキュリティ強化し、今はまだ乗っ取られていません。

    ちなみに本当に今でも信じ難い”12345″のパスワードや、誕生日とかを設定している人を身近でみると
    私は乗っ取りされそうになった怖い経験をしているので、やられないと分からないかもしれませんが
    本当に強固なパスワードに変更したほうが良いのは絶対ですよね。

    私の不正アクセス体験と長文失礼しました!

  2. kanato より:

    “身近”ではなく“間近”でした。すみません!

  3. ERA より:

    やはり大事なのは「自己防衛」ですね!

コメント

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。

CAPTCHA