ゲーム大好きWEBデザイナーの雑記ブログ

WEB関係 超雑記

ブログが不正アクセスされそうになりました…【SiteGuardで対策】

更新日:

WordPressに不審なアクセスを発見…!

このブログはWordPressで運営しておりまして、

管理画面にアクセスするにはユーザー名・パスワードが必要なのですが…

ふとログイン履歴を確認してみると……?

めっちゃログインしようとしてる奴がいる。

残念ながらセキュリティ対策をしているので、速攻でロックされてますね。

ただし、ここで気になったのが「ログイン名」です。

なぜ隠しているかというと…ログイン名は正解だったから。

パスワードはバレてないけど、ログイン名がバレてるやんけ…。

WordPressのログイン名は誰でも見れてしまう

実は誰でもログイン名を確認することができます。

そう、おじいちゃんでもね。

たとえば、ログイン名を知りたいサイトURLの最後尾に「/?author=◯」(◯には数字)と入力するだけ。

これだけで、ログイン名がバレます。なんじゃそりゃと言いたくなりますが、仕様です。

WordPressのログイン名は、「そもそもバレても問題ないぜ^^」というのが公式の見解なのでしょう。

確かに大きな問題はないが…ログイン名を隠したほうが圧倒的にセキュリティが向上するのは間違いない。

だから本サイトでは「/?author=◯」に関しては対策済み。

見ようとしても404に飛ばされるので、簡単にはユーザー名を知ることはできない。



いや、だったらなぜバレたんだ?ということになりますが…

恐らく、「WP REST API」からログイン名がバレたと思われる。

この機能はJSON形式でデータが取得できるんですが…ユーザー名まで取得できてしまいます…。

あえて詳細は書きませんが、この機能を使えば誰でも簡単にWordPressのログイン名を見ることができます。

開発者にとっては便利な機能ですが、普通にWordPressでブログ書くなら縁がない機能。

知る人ぞ知る機能ですが、今回はここからログイン名がバレた可能性が高い。

こちらも対策は可能ですが、余計な不具合が出ても面倒なので、本ブログでは対策していません。

ログイン名を必死に隠すより、もっと他のセキュリティ対策を優先したほうが良いのです。

ブログのセキュリティは「SiteGuard」で対策

今回、ちょっと大げさなブログタイトルをつけましたが、

ぶっちゃけ、こんなものは日常茶飯事です。

仕事で10個以上のサイトを運営していますが、WordPressに不正アクセスしようとする輩はどこにでも湧いてきます(笑)

WordPressにはセキュリティ対策のプラグインを必ず入れましょう。
僕が愛用しているセキュリティ対策プラグインは「SiteGuard」。

インストールして有効化するだけでも、最低限のセキュリティは確保されます。

これで攻撃者のIPもバレバレです。

ログイン履歴の記録やフェールワンスなど、いろいろな機能がありますが、
とりあえず以下を有効にするだけでも”ほぼ鉄壁”のセキュリティになります。

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証
  • ログインロック
  • ログインアラート

ぶっちゃけ、赤文字のやつだけ有効化すればほぼ鉄壁なんですが、念の為。

まず、ログインページのURLを変更するだけで大半の人はあきらめます。
仮にログインページにたどり着いても、ログインロックでIP弾かれてアウト。
そして万が一…いや、天文学的な確率でログインできたとしても、ログインアラートを設定しておけば、不正ログインにすぐ気づき対処することができます。

つまり、対策しているサイトに不正アクセスしようとしても無駄な努力です。

攻撃者は諦めて、さっさとセキュリティが甘いサイトに標的を切り替えることでしょう。

実は本サイトのログインページURLは「面倒だから別にいいや」と思って変更していませんでした。

だから今回みたいに不正アクセスを試みる奴が現れたわけです。

どうせパスワードは強固だし、ログインロックもかかるから安全なんですが、ログイン履歴がなんとなく鬱陶しいのでログインページも変更しておきました。


まとめ:ちゃんと対策すれば大丈夫

ということで、ブログが不正アクセスされそうになってヤバい!(ヤバくない)という話でした。

ログイン名が分かったところで、結局無意味ということです。

このブログに不正アクセス成功したとしても、たいしてメリットはないと思うんですがねぇ…。

不正アクセスを試みる人達にあえて餌をまき、ログインページにJavaScriptでイタズラ仕掛けるのも面白いなと最近考えてます(笑)

 

WordPressの脆弱性を狙った攻撃はまた別ですが、不正ログイン対策だけはきちんとしておきましょう。

信じ難いですが、パスワード”12345”とかアホみたいなことしてる人、いまだにいますからね…。

WEBの知識がなくても、分かりにくいパスワードを設定することは誰にでもできることです。

特定しにくいパスワードを設定し、「SiteGuard」でセキュリティを固めておけば、まず大丈夫です。







この記事をシェアする

関連記事

iPad版のPhotoshopが使いにくすぎて絶望した!「WEBデザイン無理です」

どうも、WEBデザイナー(笑)のERAです。 最近はPHPのプログラミングがメインですが、WEBデザインもひっそりと続けております。 iPad Proを持っているので、「せっかくならiPadでPSDデ …

WordPressに動画を直接アップロードするのは危ない

WordPressの「メディアの追加」からは画像だけでなく、動画をアップロードして記事に動画を挿入することもできます。 でも、余程の理由がない限りはWordPressに動画をアップロードするのはやめた …

今度は「ゆうちょ銀行」の不正ログインを偽った詐欺メールが届いた

ゆうちょ銀行(?)から怖いメールが届きました。 件名は「ゆうちょ銀行からのご連絡」で、内容を簡単に言うと「あんた、不正ログインされてるよ!」といった感じ。 実は、2週間くらい前にゆうちょダイレクトに登 …

Advanced Custom Fieldsの設定が保存されない時の対処法

お手軽にカスタムフィールドを作成できるWordPressプラグイン「Advanced Custom Fields」 いつも通りフィールドを追加して保存したはずなのに、何故か追加したフィールドが反映され …

Microsoft Edgeを使うメリットはあるのだろうか

Microsoft Edgeとは Internet Explorerに代わり、Windows10で登場した標準ブラウザ。 新機能が追加され、IEと比べると読み込み速度の高速化・セキュリティの強化が行わ …


  1. kanato より:

    今回の不正アクセスはセキュリティが高くて阻止できたので安心しましたね。

    私もGoogleアカウントを乗っ取られそうになり、Googleからスマホに警告が来てスゴく焦った記憶があります。
    いざ不正アクセスの対象になると、とても怖いものです。

    実際に私は「いつかは見破られるだろうな」と、乗っ取られても仕方がないと思って
    簡単なパスワードを使用していましたが、まさか本当に不正アクセスをされたときはビックリしました。

    信じ難い”12345″のパスワードよりは、ちょいムズのパスワードでしたが
    これを機にパスワードの変更と2段階認証でセキュリティ強化し、今はまだ乗っ取られていません。

    ちなみに本当に今でも信じ難い”12345″のパスワードや、誕生日とかを設定している人を身近でみると
    私は乗っ取りされそうになった怖い経験をしているので、やられないと分からないかもしれませんが
    本当に強固なパスワードに変更したほうが良いのは絶対ですよね。

    私の不正アクセス体験と長文失礼しました!

  2. kanato より:

    “身近”ではなく“間近”でした。すみません!

  3. ERA より:

    やはり大事なのは「自己防衛」ですね!

コメント

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。

CAPTCHA