【セキュリティ】XMLRPCを用いてブルートフォースアタックを食らってたから対策。【wordpress】

PSO2
スポンサーリンク

 

 

はい(‘ω’`)

今日は是非!ブログをやっている人には見て頂きたい記事ですよー(‘ω’`)

特にゲームブロガー(‘ω’`)

消えるな・・・消えるな・・・(‘ω’`)

負けるな・・・頑張れ・・・(‘ω’`)

 

 

と。

以前、wordpressについて少し書いたと思うんです(‘ω’`)

 

ゲームブログを10年以上やって、Wordpressと無料ブログどちら良いか?
はい('ω'`)! 今日は真面目な記事を書いちゃうぞー。 というわけで、早速。 前のブログでも何度か聞かれ。 こちらに来ても度々聞かれる事があります。 ...

 

こちらですね。

その際にセキュリティ面も自分である程度やらなきゃいけないから大変だね。

という事も書きましたね(‘ω’`)

 

無料ブログでもwordpressでもそれこそ個人サイトだって全て一緒ですね(‘ω’`)

 

私もセキュリティ面はそれなりに気をつけています(‘ω’`)

 

が・・・!

 

先日、私のアクセスログに嫌なログが・・・(‘ω’`)

 

 

 

xmlrpc.phpからのブルートフォースアタック!

 

 

 

 

そうか・・・(‘ω’`)

 

遂に私も狙われる立場か・・・(‘ω’`)

 

 

 

いやいや、いうてる場合かて。

しかして、何の対策もしていなければ

このような分かりやすいログも残りませんからね(‘ω’`)

 

そこのあなたも知らぬ間に・・・。

というやつですね(‘ω’`)

 

wordpressを使っている方なら分かると思いますが

ドメイン名さえ分かれば

他人のサイトでもログインページまでなら簡単に行けるよね(‘ω’`)

 

まぁ、そこでフェイスブックだの

ツイッターだので撒いた個人情報で。

ちゃちゃっとやられちゃうかもしれませんよ(‘ω’`)

 

しかし、今回私が受けた攻撃は、ブルートフォースアタック。

 

かっこいい名前に感じますが要するに総当りですね。

それをxmlrpc.php経由で食らったという感じだと思います( ˘ω˘)

 

 

.htaccessをいじれば対応は出来ますが

中々難易度が高いぞ。という人も居ると思います(‘ω’`)

バックアップ取ってれば問題ないですけど

大事な記述が多数してあるファイルですし。触るの怖いよね(‘ω’`)

 

というわけで、wordpress使用者の出来るだけ簡単済む対策を書いていこうと思います(‘ω’`)

 

Xserverなら管理ページの国外IP制限も簡単

 

はい(‘ω’`)

まずは真っ先に出来るのがxserverを使っている方向けなわけですけど。

 

サーバーパネルにログインします(‘ω’`)

左下の設定対象ドメインをwordpressがインスコしてあるドメインにします(‘ω’`)

wordpressの欄からwordpressセキュリティ設定を選択します(‘ω’`)

 

 

ONにすればオッケー(‘ω’`)

 

 

 

まぁ、私はONにしてたんですけど。

それでもということは国内からでしたねー(‘ω’`)

しかし、悪さをする人は世界中に居ます。

特にどこの国とはいいませんが、あります。

 

xserverはお値段安くは無いですけどサポート手厚いですしいいね(‘ω’`)

今のところ鯖落ちも1回だけですし(‘ω’`)!

 

 

Google Authenticator(二段階認証)

 

続いてプラグインですね(‘ω’`)

ネトゲユーザーやネットでお金のやり取りが盛んな方。

仮想通貨にFX株等には馴染み深い二段階認証を導入しましょう(‘ω’`)

 

 

インストールして有効化してください。

そして「Active」にチェックを入れ。

「Description」にブログの名前でも入れておいてください(‘ω’`)

スマホ側の識別で使います。

そんでもって「Show OR code」をクリックしORコードを読み込みます(‘ω’`)

スマホがおしゃかになった時ようにQRコードのSSは取っておくといいですね(‘ω’`)

そんでもってプロフィールの更新をクリックでおしまいですね。

次からのログインには二段階認証が必要になります( ˘ω˘)

 

 

SiteGuard WP Plugin

 

 

こっちは日本語で安心だぁ・・・(‘ω’`)

 

 

こちらも勿論有効化してください。

 

 

 

ごらんの様にこんな画面が出ると思いますが!

管理ページのアクセス制限は勿論ONにしてください。

 

続いてログインページの変更ですが・・・。

一番最初に記載したとおり。

ドメインさえ分かればログインページまで行けますよね(‘ω’`)

そのログインページを偽装するということになります。

 

個人の判断ではありますが。

私はやっておくべきだと思います。

 

 

勿論好きな数字に変更してもいいですし、デフォルトのバラバラでもおっけーです。

今後はそちらからログインしますので、ブックマークしておきましょう。

 

 

 

 

続いて画像認証

 

 

私はコメントは開けていますし

来てくれる方々にいちいちその労力をかけるのもアレですので

コメントのみ無効にしています(‘ω’`)

コメントに関しては別のプラグインで何とかなるしね(‘ω’`)

ひらがなは強いぞー(‘ω’`)!

 

 

ログイン詳細エラーメッセージの無効化も勿論ON。

 

ログインロックは私が食らったブルートフォースに対し効果を発揮しますので

是非やっておきましょう(‘ω’`)

 

 

 

ログインアラートフェールワンスに関しては個人の判断で。

 

 

 

XMLRPCの制御に関しては・・・。

 

 

ONは勿論ですが、ピンバック無効化か。

XMLRPC無効化どちらにするかということになります。

 

私はピンバック無効化のみでしたが

この度、XMLRPC経由でブルートフォースを受けましたので

XMLRPC無効化にしました(‘ω’`)

 

ただ、弊害として一部プラグインが使えなくなったりします(‘ω’`)

スマホから投稿したり、リモート投稿したり・・・。

そういう方は入れると使えなくなるかもしれません。

PCの管理画面からしか更新しないよ!という人なら大丈夫だと思います( ˘ω˘)

 

更新通知も個人の判断で。

WAFチューニングサポートは個々のサイト次第。

 

 

以上で設定は終了。

 

 

最後に。(ここを1番書きたかった。)

 

と!

ここまでやるとログインページを偽装した上で!

 

 

 

ログイン画面がこうなります(‘ω’`)

 

 

で。

これを見てめんどくせー画面になったなぁと思う人も多いと思います。

 

途中で何度も個人の判断と記載しましたが。

 

結局の所セキュリティというのはトレードオフだと私は思っています。

やればやるほど、身を守れますが。

それに比例してめんどくさくなったり。

そもそも自分がログインできなくなったりする危険性もあるわけです(‘ω’`)

 

その際に自分がどこまで対応できるのか、という点と相談ですね。

これでも万が一乗っ取られた場合に私は定期的に自動バックアップも取ってあります(‘ω’`)

.htaccessもいじってあります。

 

プラグインを増やせばそれだけセキュリティホールが出来てしまいますから

できれば.htaccessをいじったほうがいいのかもしれませんが

それにも大なり小なりのリスクはあるわけです(‘ω’`)

だからまぁ、すぐに出来て効果を発揮できる上記3つを上げたわけですね。

 

 

結局の所平和な世界になるのが1番なわけですが・・・(‘ω’`)

 

 

ただ、なぜ今回これを書いたかといいますと(‘ω’`)!

 

これを機会にゲームブログを色々見て回ったんですね(‘ω’`)

 

大手は流石にしっかりしていましたが

何もしていない所も多かったので、気づいてないだけで食らってんだろうなーって思ったからですね(‘ω’`)

IDとパスが合う確率は分かりませんけども

合ってしまうと乗っ取られてしまいます(‘ω’`)

 

それ即ち、見てくれる人にも被害が及ぶ可能性もあります。

 

乗っ取る1番の理由は何かの宣伝をしたいからですよね。

変な広告貼られたり、ヤバいサイトに誘導したりと。

踏み台になったりもするかもね(‘ω’`)

 

折角育てた大事な場所( ˘ω˘)

失ってからではどうしようもありません(‘ω’`)

 

自分の対応できる範囲でめんどくさがらずにしておくのが良いでしょう(‘ω’`)

OTPだけでも入れておくといいと思うのよ(‘ω’`)

 

というわけで今日の所はこの辺で(‘ω’`)

ではでは、お疲れ様でした(‘ω’`)

コメント

  1. 名無し より:

    どこの国かはなんとなくわかるけどホント人間の皮被った獣は日本含めてどこにでもいますよね
    自分がやられたら頃す勢いで喚くくせに他人を傷付ける時は正しいと言わんばかりに罵倒する
    こんなゴミが生きているだけでやはり神なんぞ正しくもなんともないと卑下したくなります
    管理人はさぞかし大変でしょうがこんなクズ達に負けず頑張ってほしい
    管理人の楽しい記事をこれからも期待しています

    • ゼロ より:

      >>名無しさん

      最後の1文の優しいあなたを取り戻せ(‘ω’`)!w

      まぁ、思っている所で大体あってると思いますよ(‘ω’`)
      ゲームは特にとかでもモラルもルールも無視してって思いますし
      ネトゲしていると愚痴りたくなる気持ちもありますよね(‘ω’`)
      PUGBとかも凄いですしね(‘ω’`)

      私としてもめんどくさいですしため息も出ますが!
      仕方ないね(‘ω’`)

  2. (´・ω・`) より:

    (´・ω・`)らんらんは豚だから難しいことはわからないよ

    • ゼロ より:

      >>(´・ω・`)さん

      パスワードはしっかり強いものを(‘ω’`)
      出来ればOTP+αするのよ(‘ω’`)