Dog attack Photo by solariahues

それは数日前のこと。iPhoneに届いたメールの通知を見て気がつきました。メールはその後も続き、何やら見慣れないユーザー名でWordPressへのログインを何度も試されているようでした。

『これがブルートフォースアタックなのか！？』と思いつつ、事前対策以外にも新たな追加対策も必要と考え行ったこと、事の顛末をまとめておきます。

事前対策。

不正アクセス対策として事前で行っていたことは、

• WordPressのadminユーザーの削除
• 投稿者アーカイブURLの変更
• WordPressログイン画面へのアクセスを通知

の3つです。

WordPressのadminユーザーの削除

これはWordPressでのブログ運用開始時点で行っていました。具体的な方法は、うしぎゅーさん（@ushigyu）の

この記事をご覧ください。

投稿者アーカイブURLの変更

標準ではユーザー名が投稿者アーカイブのURLとなるようです。

こちらはヒロセさん（@shirose_jp）の

この記事を参考にしてユーザー名とニックネームを別々にするプラグイン、Edit Author SlugでAuthor URLを変更しました。

WordPressログイン画面へのアクセスを通知

これはマルボロさん（@hondamarlboro）作のプラグイン、Login Alert Notificationを入れています。

これがなければ今回の不正アクセスを知ることすらなかったと思うとマルボロさんには足を向けては寝られないです。（マルボロさん、ちなみに名古屋からだとどちらの方角になるでしょうか？ご連絡お待ちしておりますm(_ _)m）

追加対策。

これだけの対策をしていてようやく気づけた不正アクセスですが、そのまま放置しておくのは気持ちが悪いので、追加対策をすることにしました。その対策は、

• 管理画面へのアクセスログを記録。
• 管理画面への不正アクセスを遮断。

この2つ。

管理画面へのアクセスログを記録。

まずはアクセスログの記録。これはWordPressのプラグイン、Crazy Boneの導入。

これで管理画面へのアクセスログが記録できるようになります。

管理画面への不正アクセスを遮断。

もう1つは不正アクセスの遮断。こちらはLimit Login Attemptsというプラグインを導入しました。

この2つはまさとさん（@masato_s0125）がまとめて

この記事で紹介してくださっています。

事の顛末。

時系列で確認していくと、

• 2013年9月4日04:18 最初の不正アクセス通知がメールで届く。
• 同日06:00 メールチェックして不正アクセスに気づく。この間も数回別のIPアドレスからの不正アクセスあり。
• 同日10:48 まさとさんの記事がアップされるもボクがSylfeedでRSSチェック入れるのは06:00なのでこの時点では記事に気づかず。
• 結局この日の不正アクセスは70回程あった。
• 2013年9月5日06:00 SylfeedでRSSチェックしてまさとさんの記事を発見。
• 同日10:51 まさとさんの記事にあった2つのプラグインを順次導入。しばらく様子をみるとCrazy Boneには記録されないため、ログインフォームを経由していないと判断。
• 同日14:01 この時間を最後に不正アクセスが止まる。（あくまで現時点では。）

となります。

不正アクセスの回数はLogin Alert Notificationでのメール通知を数えると合計で121回ありました。

乗っ取られてからでは遅い！！

< style=”float:right;” >
@feelingplaceさんをフォロー
>

こういう話になると、『まさかウチのブログが！？』とか『ウチには来ないよね〜。』とか完全に他人事のように捉えてしまうかもしれません。

しかし、乗っ取られてからでは遅い！！

今は一旦不正アクセスは止まっていますが、今後も大丈夫とは言い切れません。

さらに追加の対策として、

• WordPressログイン画面のURLを隠す。

こちらはマルボロさん作のプラグイン、Stealth Login Pageを導入します。（ログイン画面経由じゃないから意味ないかもしれないけど念のため。）

Stealth Login Page – WordPressログイン画面を隠すプラグイン | 代助のブログ

• ユーザー名の変更。

こちらは先程のひろせさんの記事にあったAdmin renamer extendedを導入します。

他にも2段階認証とかも入れたほうがいいかなと思ってます。

不正アクセスなんて、なきゃないでいいことなんですけど、あってからじゃ何ともならないです。

今できる対策はやれるだけやっておくことが必要だと改めて感じた1件でした。

ここでお知らせ！！

当ブログ、Feelingplaceでは以下のサービスを利用して更新情報を発信しています。

RSSフィード

• RSS購読

• Feedlyで購読

Twitter

• Twitter（ブログ更新情報専用）

Facebook

• Facebookページ
• Facebookページ（フォルテ）

Google+

• Google+ページ

Youtube（フォルテやiPhone・iPadアプリ操作デモ動画）

• YouTube

Instagram（#朝1フォルテなど）

• Instagram

まだフォローしていないものがあれば、この機会にぜひフォローをお願いします。

Posted from SLPRO Blog Editor for iOS on iPhone.