ごきげんよう
皆さんはWordPressをご存知だろうか。
ブログでよく使われているソフトウェアである。
今やバージョン4系に到達するほど長く使われているが、使っているからこそ問題もある。
ユーザーログイン画面への総当たり攻撃(ブルートフォースアタック)である。
そこで、今回はWordPressの総当たり攻撃(ブルートフォースアタック)対策についてまとめてみたいと思う。
紹介する各プラグインは提供元サイトやインストール後の設定画面を見れば分かるものばかりなので、注目すべき点に絞って紹介したい。
1. とりあえずパスワードを強くしようぜ
設定画面のパスワード変更箇所では「強度表示器」とうものがあり、強度具合を確認出来る。
これで強度が十分か確認しながら決めると良い。
複雑なパスワードを生成した場合は、パスワード管理のソフトウェアもあるそうなので、活用したほうが良いかもしれない。
人間そんなに覚えられない。
2. Crazy Bone(狂骨)で全てのログイン履歴を見よう
パスワードを強くしたら、次は不正ログインを検知するためにCrazy Bone(狂骨)を導入しよう。
プラグインの見た目が怖いが、仕様はもっと怖い。
全てのログイン履歴を残してくれる。
設定画面のユーザーの欄に「ログイン履歴」が現れるのでそこから確認可能。
ログイン、ログアウト、ログインエラーの3種類に分けて、
ユーザー名、ログイン時刻、IPアドレス(国旗付き)、ユーザーエージェント
を残してくれる。
もし、ログイン中に別IPからログインされた場合はIPと一緒に警告を表示してくれる。
基本的に、ユーザーが削除しない限りはログイン履歴を保持していく。
総当たり攻撃(ブルートフォースアタック)の場合は短期間で大量のアクセスがあるため、ログイン時に毎回確認すれば検知出来る。
source:
WordPress › Crazy Bone « WordPress Plugins
3. ログイン制限で攻撃者に怒りの鉄槌を
ログイン履歴を見ているだけでは攻撃者をそのままにしてしまう。
そこで、ログイン制限を用いて対応しよう。
簡単に済ませる場合はログイン試行回数とパスワード周りが設定できる「Login Security Solution」が良いと思う。
ただし、試行回数を超えてもログインできない時間は意外と短い。
これでは意味があるのかとお嘆きのユーザーの皆様は、「Simple Login Lockdown」や「Limit Login Attempts」を試されると良いかと思う。
これらも試行回数を超えた場合に決められた時間が経過しないと再度ログインできないが、その設定の幅が広い。
特に「Limit Login Attempts」は「試行回数を超えた場合のログイン不可時間」と「試行回数超えを一定期間で特定回数発生させた場合のログイン不可時間」の2段階で設定出来る。
例えば、「5回ログインエラーになったら1時間ログイン不可」と「試行回数超えを2回したら24時間ログイン不可」という2段階で出来る。
時間も自由に指定出来るので1回の試行回数超えで1週間のログイン不可などが簡単に設定できる。
攻撃者にイライラし始めたらログイン不可時間を長めに設定して待ち構えよう。
因みに、ログイン制限はもちろんブログにログインする正規ユーザーにも課されるので、注意願いたい。
source:
WordPress › Login Security Solution « WordPress Plugins
WordPress › Simple Login Lockdown « WordPress Plugins
WordPress › Limit Login Attempts « WordPress Plugins
4. ログイン画面を隠せばいいじゃない
ログイン制限よりももっと良い方法は無いのかとお探しの皆様にはそもそもユーザーログイン画面を隠してしまう方法がある。
手動でソースコードを書き換えて別ページからのログインを可能にすることもできるが、「Login rebuilder」というプラグインが存在する。
詳細な設定方法は作者ページが詳しいので割愛するが、サーバ上にある新規ファイル(新しいログインページ)の修正が必要になる。
設定後に、標準のログインページにアクセスがあった場合にWordPress側がどんなアクションをするか決められる。
パターンとしては403/404ステータスを返す場合とブログトップに流してしまう方法がある。
ブログトップに流す設定をすると、不正アクセスでPV数が跳ね上がるというおかしな状態になる。
不正アクセスがいっぱいの人はブログトップに流したら、役に立たないアクセスもPVに変換できる。
標準のログインページと新しいログインページへのアクセスをログ保存してくれるので、どんなアクセスがあったのか確認できる。
因みにこのプラグインは前述のログイン制限プラグインとも組み合わせて使える。
新しいログインページURLを見つけて意気揚々とアタックしに来た攻撃者に対して「おまえ暫くこのページアクセス出来ねぇから」と退場していただくことも可能である。
新しいログインページURLを外部に漏らさない事が重要だが、バレても対応出来る状況を作り出す事も大切である。
source:
Login rebuilder:プラグイン作ってみました:WordPress私的マニュアル
5. 最後に
今回は、WordPressの総当たり攻撃(ブルートフォースアタック)対策について、プラグインを中心に説明した。
パスワードが強固だとしても、何度もアクセスしてくる攻撃者には痛い目にあってもらったほうが良い。
困っている方々は今回紹介した対応方法を実行してみてはいかがだろうか。
それでは ごきげんよう
source:
WordPress › Crazy Bone « WordPress Plugins
WordPress › Login Security Solution « WordPress Plugins
WordPress › Simple Login Lockdown « WordPress Plugins
WordPress › Limit Login Attempts « WordPress Plugins
Login rebuilder:プラグイン作ってみました:WordPress私的マニュアル