WordPressに不審なアクセスを発見…!
このブログはWordPressで運営しておりまして、
管理画面にアクセスするにはユーザー名・パスワードが必要なのですが…
ふとログイン履歴を確認してみると……?
めっちゃログインしようとしてる奴がいる。
残念ながらセキュリティ対策をしているので、速攻でロックされてますね。
ただし、ここで気になったのが「ログイン名」です。
なぜ隠しているかというと…ログイン名は正解だったから。
パスワードはバレてないけど、ログイン名がバレてるやんけ…。
WordPressのログイン名は誰でも見れてしまう
実は誰でもログイン名を確認することができます。
そう、おじいちゃんでもね。
たとえば、ログイン名を知りたいサイトURLの最後尾に「/?author=◯」(◯には数字)と入力するだけ。
これだけで、ログイン名がバレます。なんじゃそりゃと言いたくなりますが、仕様です。
WordPressのログイン名は、「そもそもバレても問題ないぜ^^」というのが公式の見解なのでしょう。
確かに大きな問題はないが…ログイン名を隠したほうが圧倒的にセキュリティが向上するのは間違いない。
だから本サイトでは「/?author=◯」に関しては対策済み。
見ようとしても404に飛ばされるので、簡単にはユーザー名を知ることはできない。
いや、だったらなぜバレたんだ?ということになりますが…
恐らく、「WP REST API」からログイン名がバレたと思われる。
この機能はJSON形式でデータが取得できるんですが…ユーザー名まで取得できてしまいます…。
あえて詳細は書きませんが、この機能を使えば誰でも簡単にWordPressのログイン名を見ることができます。
開発者にとっては便利な機能ですが、普通にWordPressでブログ書くなら縁がない機能。
知る人ぞ知る機能ですが、今回はここからログイン名がバレた可能性が高い。
こちらも対策は可能ですが、余計な不具合が出ても面倒なので、本ブログでは対策していません。
ログイン名を必死に隠すより、もっと他のセキュリティ対策を優先したほうが良いのです。
ブログのセキュリティは「SiteGuard」で対策
今回、ちょっと大げさなブログタイトルをつけましたが、
ぶっちゃけ、こんなものは日常茶飯事です。
仕事で10個以上のサイトを運営していますが、WordPressに不正アクセスしようとする輩はどこにでも湧いてきます(笑)
WordPressにはセキュリティ対策のプラグインを必ず入れましょう。
僕が愛用しているセキュリティ対策プラグインは「SiteGuard」。
インストールして有効化するだけでも、最低限のセキュリティは確保されます。
これで攻撃者のIPもバレバレです。
ログイン履歴の記録やフェールワンスなど、いろいろな機能がありますが、
とりあえず以下を有効にするだけでも”ほぼ鉄壁”のセキュリティになります。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログインロック
- ログインアラート
ぶっちゃけ、赤文字のやつだけ有効化すればほぼ鉄壁なんですが、念の為。
まず、ログインページのURLを変更するだけで大半の人はあきらめます。
仮にログインページにたどり着いても、ログインロックでIP弾かれてアウト。
そして万が一…いや、天文学的な確率でログインできたとしても、ログインアラートを設定しておけば、不正ログインにすぐ気づき対処することができます。
つまり、対策しているサイトに不正アクセスしようとしても無駄な努力です。
攻撃者は諦めて、さっさとセキュリティが甘いサイトに標的を切り替えることでしょう。
実は本サイトのログインページURLは「面倒だから別にいいや」と思って変更していませんでした。
だから今回みたいに不正アクセスを試みる奴が現れたわけです。
どうせパスワードは強固だし、ログインロックもかかるから安全なんですが、ログイン履歴がなんとなく鬱陶しいのでログインページも変更しておきました。
まとめ:ちゃんと対策すれば大丈夫
ということで、ブログが不正アクセスされそうになってヤバい!(ヤバくない)という話でした。
ログイン名が分かったところで、結局無意味ということです。
このブログに不正アクセス成功したとしても、たいしてメリットはないと思うんですがねぇ…。
不正アクセスを試みる人達にあえて餌をまき、ログインページにJavaScriptでイタズラ仕掛けるのも面白いなと最近考えてます(笑)
WordPressの脆弱性を狙った攻撃はまた別ですが、不正ログイン対策だけはきちんとしておきましょう。
信じ難いですが、パスワード”12345”とかアホみたいなことしてる人、いまだにいますからね…。
WEBの知識がなくても、分かりにくいパスワードを設定することは誰にでもできることです。
特定しにくいパスワードを設定し、「SiteGuard」でセキュリティを固めておけば、まず大丈夫です。