左坊のメモ帳

WordPress など

*

ワードプレスでブルートフォース対策

      2016/08/23

プラグインでブルートフォースアタック対策

対策はいくつもあると思いますが、
プラグインを使って、最低限これだけやっておけばけっこう安心です、という内容です。

スポンサーリンク

ブルートフォースアタックとは

ハッカーが、適当なユーザー名とパスワードを使って、ログインが成功するまでログインを繰り返すことです。

セキュリティホールも何も関係なし。

力づくでログインしようとする攻撃方法ですが、分かりやすいユーザー名パスワードが使われることも多いので、意外と攻撃が成功しやすかったりするそうです。

攻撃が成功すると、

攻撃成功」=「悪意ある人が自分のサイトに管理者権限ログインし放題」=「コンテンツ書き換えられる(訪問者を変なサイトに誘導したり)」

といった事態になります。

やること

SiteGuard WP Plugin」というプラグイン(公式、無料)を使い、3項目の設定変更・確認をします。

まずはプラグインをインストールして、有効化にしましょう。
siteguardinstall00

有効化すると、ワードプレス管理ページの左メニューに「SiteGuard」というメニューが追加されます。
ここで各種設定変更を行ないます。
siteguardinstall01_menu
siteguardinstall02_menu

インストール後の設定変更しておくべき項目

インストールするだけでもセキュリティは良くはなりますが、できればもう少し設定を変更してより安心できるようにしておきましょう。
(バージョン1.3.0時点での説明となります。)

具体的には、以下の3項目です。

ログインページ変更

管理ページのログインURL変更できます。
デフォルトで「ON」になっていて、URLは「login_111111」という文字列になっています。
このURLを覚えやすいURLに変更します。デフォルトのままでもよいと思います。

管理ページアクセス制限

デフォルトでは「OFF」なので、「ON」にして「変更を保存」します。

これを「ON」にすると、/wpadmin/というURLにブラウザでアクセスした時に404NotFound(ページがありません)が表示されます。
ただし、24時間以内に管理ページにログイン成功しているPCから/wp-admin/にアクセスした場合は、管理ページログイン画面が表示されます。

ログインロック

デフォルトで「ON」になっていて、5秒間3回ログイン失敗するとその後1分間は該当IPアドレスからのアクセスについてはログイン画面をロックする、という設定になっています。

これを、

期間:30秒
回数:3回
ロック時間:5分

にしましょう。

期間を30秒に延ばすのは、検知範囲をできるだけ広くしておくためです。

プログラムで高速にログインすれば5秒どころか1秒で3回ログインは簡単に実行できるのですが、ログインロックを意識してなのか、このログイン間隔を意図的に少し長めにするハッカーもいます。

実際にSiteGuardの「ログイン履歴」にログが残っていたのですが、10~15秒に3回の頻度でログインを試す輩がいました。
その場合、デフォルト値の「期間:5秒、回数:3回」に設定していた場合、ロックがかかりません。

ロックがかからない」ということは、ユーザー名・パスワードでログインを試されている、ということです。これではログインロックの意味がなくなってしまうので、できるだけロックがかかるような設定にしておきましょう。

注意点は、30秒の間に3回パスワードを間違えると、自分自身もロックされてしまいますので、その後5分待たないといけなくなります。

以上、3項目の設定変更をしておきましょう。

SiteGuardWPでできること

その他の設定項目について説明します。

画像認証

ログイン時に、画像認証を付けられます。
選択肢は、「ひらがな」「英数字」「無効」の3択ですが、これは「ひらがな」にしておきましょう。

ログイン詳細エラーメッセージの無効化

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

デフォルトで「ON」です。そのまま「ON」にしておきましょう。

ログインアラート

管理ページにログインすると、「ログインありました」メールが送信されます。

デフォルトで「ON」です。そのまま「ON」にしておきましょう。

フェールワンス

正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。

デフォルトでは「OFF」です。お好みで「ON」にしましょう。

XMLRPC防御

Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります

デフォルトで「ON」です。そのまま「ON」にしておきましょう。

更新通知

WordPress本体プラグインテーマ更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。

デフォルトで「ON」です。そのまま「ON」にしておきましょう。

WAFチューニングサポート

WAF (SiteGuard Lite )を導入している場合に、除外ルールを作成できます。

デフォルトでは「OFF」です。「OFF」のままでよいです。

不具合が出たら・・・

「SiteGuard WP Plugin」を有効化、設定変更して、何かおかしくなってしまった場合の対処方法です。

プラグインを無効にする

管理ページにログインできている場合は、プラグイン無効にしてみてください。

FTPでプラグインを無効にする

FTPでワードプレスのサーバーにログインし、

wp-content/plugins/siteguard/フォルダ名を変更(siteguard_などに)します。

.htaccessの該当箇所をコメントアウト

SiteGuardを有効化すると、.htaccessに以下の設定が追加されます。
その部分をコメントアウト(行頭に半角#を入れる)か、削除しましょう。

.htaccessに追加される箇所

#SITEGUARD_PLUGIN_SETTINGS_START
#この間に設定が追加されます。
#内容は有効にしている機能によって異なります。
#SITEGUARD_PLUGIN_SETTINGS_END

サポートページ

 - WordPress