ライフスタイルを快適にするブログ

NullNone BLOG

【衝撃】WordPressで不正ログインをされかけた【対策済】

こんにちはヌルナンです.

どうやら僕のブログに不正ログインが試みられたよう.

なぜ分かったかというと…こういうメール通知が来たからです.

 

サイトのロックアウト通知

あまりにも多くログインの試みに失敗したか、ユーザー名が無効なため、ロックダウンイベントが発生しました。
ユーザー名:✳︎✳︎✳︎✳︎✳︎✳︎✳︎✳︎✳︎

IP アドレス: ✳︎✳︎✳︎✳︎✳︎✳︎✳︎✳︎✳︎

IPアドレスの範囲: ✳︎✳︎✳︎✳︎✳︎✳︎✳︎

ロックアウト期間を見たり、ユーザーのロックを解除したりするにはサイトの WordPress 管理画面にログインしてください。

 

結論から言うと,不正ログインに対して対策をしていたのでサイト自身には何も影響はないが,不正ログイン行為が自分のサイトに対して行われたことが衝撃.

ブログを始めて約半年の弱小サイトでも標的になると言うことを周知したい.

 

WordPressの不正ログイン

ブログを作成したり,編集したりする際には必ず,WordPressの管理画面にログインするわけだが,この管理画面に管理者に気づかれないままログインをし記事の改ざんや重要な情報の盗み取り,さらにはサイトの訪問者をフィッシングサイトやスパムサイトへの誘導を行うためのコードを設置したり…

ブログ運営をする上では,看過できない事象.

 

自分が管理者であるが故に,サイトに関しては何でも出来るのが裏目になり,不正ログインされると自分ではない第三者がサイトを自由に操作できる.

最悪の場合,僕がログインしようとしてもIDやパスワードが変更され乗っ取られてしまう場合も.

そして最近はコロナや副業ブームでブログを始める人も多く,不正ログインの被害が増加しているとか.

 

世界のウェブサイトの30%程度を占めるWordPress.当然シェアの多いWordPressが標的にされるのも納得.

 

ブルートフォースアタックに弱いWordPress

実際に僕が受けた不正ログイン操作が「ブルートフォースアタック」.

総当たり攻撃と言われるもので,WordPressの管理ログイン画面に入力する以下の2つ

 

  • ユーザ名
  • パスワード

 

これらを総当たりで攻撃すると言うもので,泥臭い作業のようだが,実はWordPressはこのブルートフォースアタックに非常に弱い.

 

ブルートフォースアタックに弱い理由

例えば,自分のサイトのユーザ名を調べるにしても

サイトアドレス/?author=1

と入力してもらえれば,ユーザ名があっという間に取得できることも分かるかと.皆さんはどうでしょうか.

「author=」の後ろの数を変えることで,登録された全ユーザが見えてしまう恐ろしさ.そしてそのままの状態では変更できないのです.プラグイン等を使用して変更する必要がある.

 

パスワードがあるから安心は無駄

例えばユーザ名が知られたとしても,パスワードが設定されているから問題ないと思っても無駄です.

ブルートフォースアタックではあらゆるパスワードをランダムで調べる攻撃です.簡単なパスワードでは容易に突破されると思います.

ネット上に総当たり攻撃でパスワードクラックされるおおよその時間等が掲載されていると思うが,大体以下のようなものだ.

 

  • 大文字と小文字の区別がない英文字の場合: 4桁で3秒,6桁で37分,8桁で17日
  • 大文字と小文字の区別がある英文字と数字の場合: 4桁で2分,6桁で5日,8桁で50年
  • 大文字と小文字の区別がある英文字と数字記号の場合: 4桁で9分,6桁で54日,8桁で1000年

 

よく色んなサイトのパスワードが8桁以上に設定されているのも上の結果から分かる.ただ,どれだけパスワードを複雑なものにしても時間はかかるもののいずれは破られてしまうのがブルートフォースアタックの怖さ.

 

ブルートフォースアタック対策

具体的な自分の対策を全て載せることは,セキュリティをオープンにしているのと同じなので誰にでもできる容易な対策を載せておく.

 

プラグインの導入

ブルートフォースアタック攻撃を受けたことが分かったのは,プラグインのを導入したおかげ.

僕の場合,最初の見出しにあげたように,ログイン試行回数が一定回数を超過した場合に通知と同時にそのIPアドレスをロックアウトするようにしている.

ロックアウトの間隔や時間等も設定できるので,これは是非行っておきたい…というより必須だと思う.

 

 

ただし,自分がログインユーザ名等を忘れて何度も試行した場合,自分がロックアウトされてしまうので注意.

このプラグインからロックアウトされたIPアドレスを確認して,どこからの攻撃かも把握できる.一つ言うことはSNSに過剰に露出すると標的にもなりやすいと言うこと.

 

ログインURLの変更

これもブルートフォースアタック対策としては有効で,金庫の場所は分かるけど,試行回数と泥棒を特定するのが先のプラグイン導入なら,この「ログインURLの変更」は金庫の場所自体を隠すと言うもの.

 

WordPressのデフォルトのログインURLは

サイトアドレス/wp-admin/

から飛べるようになっていると思う.つまりサイト名が分かれば,誰でも金庫の場所がわかるので,このURLを変更しておくと言うもの.

 

これもプラグインで対策可能なので是非導入しておいて欲しい.

 

サイトの成長に合わせて運営管理の成長も必要

僕が大きな被害に遭わなかったのは,運が良かっただけかもしれない.

実際にブルートフォースアタックの攻撃を受けて,サイトの運営期間やPV数等には関係ない.

 

長期間運営し,PVもかなりあるようなサイトほど攻撃対象になると思ったが,全く関係ないと言うことだ.

僕の場合,SNSからの流入が多いが,その分標的になりやすいこともある.サイトを成長せさつつ運営管理もしっかりしないと乗っ取られると感じた瞬間だった.

 

 

 

 

  • B!