ここ最近、WordPressへの総当たり攻撃「ブルートフォースアタック」が激しさを増しているようです。
WordPress狙う大規模攻撃が発生、管理者アカウントを標的に – ITmedia エンタープライズ
要はWordPressのログイン画面でパスワードを片っ端から入力して侵入を試みる攻撃と。
ログイン時にはユーザー名とパスワードが必要なのですが、未だにユーザー名を「admin」のままで利用している人が多い事を突いた攻撃です。
デフォルトのままのユーザー名で運用している人は気をつけましょう。
毎日9万のサーバからアタック攻撃が行われているそうです。
今回の大規模アタックは「admin」ユーザーを対象にしている攻撃なのですが、厳密にはユーザー名を変えてもバレてしまうそうです。
なので、今回は確実にサーバアタックから身を守る方法をご紹介。
簡単に言うとログイン時にパスワードの他にワンタイムパスワードを導入しましょうと言う事です。
Googleの2段階認証(2要素認証)てきなやつです。
WordPressにプラグインを追加して、iPhoneやAndroidアプリでGoogleのワンタイムパスワードを生成して入力するしくみです。
ログインに際し自身の携帯端末が必要になるのでセキュリティ対策はバッチリです。
設定も非常に簡単なのでオススメです。
面倒なアドレス登録や電話番号登録も要りませんし。
まずは、iPhoneやAndroidアプリで「Google Authenticator」と言うアプリをインストールしておきます。
次にWordPressプラグインの「Google Authenticator」を管理画面のプラグインで検索してインストールして有効化します。
すると管理画面の「ユーザー」のプロフィール設定項目に「Google Authenticator Settings」が追加されます。
まずはActiveにチェックマークをします。
ご自身のサイトがひとつなら変える必要はありませんが、複数のWordPressブログをお持ちなら、「Description」で判別しやすい名前を付けます。
(私はKioku7.comで)
で、手作業で入力するなら「Create new password」を押して番号を生成してiPhoneやAndroidアプリに入力するのですが、今回は非常に簡単なバーコード入力で。
右の赤枠のShow/Hide QR codeを押とバーコードが表示されます。
その状態でiPhoneやAndroidアプリの「Google Authenticator」を起動させて「バーコードをスキャン」ボタンを押します。
するとカメラ画面に切り替わるので、WordPress管理画面に表示されているバーコードにレンズを向けると一瞬で読み取ります。
↓こんな感じです。
登録名の上に数字のパスワードが表示されます。
そのパスワードをWordPressのログイン時に入力します。
iPhoneで生成されるこのパスワードは1分毎に変更されますので、ログイン毎に変わる事になります。
なので非常にセキュリティ対策としては有効ですね。
って事で、一通りのセキュリティ対策を施して安心したところで、このブログ用に借りているレンタルサーバからのメールを思い出す。
国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能の追加
人気ブログツールであるWordPressにおいては
その利用者数の多さから、管理ツールに対するブルートフォースアタック
(ID/パスワードを手当たり次第試してログインを試みる方法)による攻撃事例が多く報告されております。当サービスにおいても、特に今週に入り、お客様が運用中のWordPressに対して日本国外のIPアドレスを経由した大量のブルートフォースアタックが確認されております。
弊社ではこれを受け、お客様のWordPressが不正に乗っ取られることを防ぎ、なおかつ過剰な攻撃処理によるサーバー負荷の上昇やサーバー障害の発生を防ぐため、お客様がすでに運用中のWordPressや今後新規に設置するWordPressにおいて、以下管理ツールURLへの国外IPアドレスからのWEBアクセスを制限することといたしました。
サーバーパネルにおいて、本制限の解除が可能な「WordPress国外IPアクセス制限」機能を追加いたしております。
(Xサーバーからのメールより引用)
との事です。
さすがです、エックスサーバさん。
私が契約した当時は一番安いプランでの容量が確か、10GBか20GBだったと思うのですが、あれよあれよと容量増加通知が届いて、今では一番安いプランで容量が200GBになりました。
太っ腹です、エックスサーバさん。
コメント