コンテンツへスキップ

【メモ】「WordPress管理者アカウント乗っ取り」のセキュリティ対策をまとめてみた。


2013年の4月に話題になったWordPressの管理者アカウント「admin」を狙った攻撃のニュースですが、ホスティング業者からの注意の促しなどでアカウント名を変える等の対応をされた方も多いと思います。

■WordPress狙う大規模攻撃が発生、管理者アカウントを標的に
http://www.itmedia.co.jp/news/articles/1304/16/news033.html

米セキュリティ機関のUS-CERTは4月15日、オープンソースのブログツール「WordPress」を狙った攻撃が続いているとして注意を呼び掛けた。

US-CERTによると、攻撃者は「admin」のユーザーネームと、総当たり方式のブルートフォース攻撃で見つけ出したパスワードの組み合わせを使って、Webサイトの管理用パネルを制御しようとしているという。

しかし「admin」アカウントを変更したらアタックがされないという訳ではなく、継続的にこのアタックは来ている様です。その辺を理解した上で、セキュリティ対策は正しく運用したいものです。そこでまだ未対応の方もふくめ、改めて対応いただきたい内容をまとめてみました。

1. アカウント名に「admin」を使っている場合、速やかに別のアカウントをつくり「admin」は削除する。

もし対応をされてない方はすぐに別のアカウント名を「admin」以外でつくり、パスワードは英数字合わせて8文字が強度的にも運用的にも妥当だといわれています。
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

「admin」以外のアカウントを作成した後そのアカウントでログインし、「admin」は削除しましょう。削除する際に「admin」に紐づいている投稿をどうするか聞かれるので、必ず新しいアカウントに紐づけてください。

2. アタックの状況を監視するプラグインやログイン回数を制限するプラグインをインストールする。

先ほども申し上げたように、アカウント名を変更しても不正なアタックは毎日サイトに来ていると思った方がよいです。それを可視化するプラグインを入れておき、現状を認識・ウオッチしセキュリティの意識を高めることが大切です。

Crazy Bone
http://wordpress.org/plugins/crazy-bone/ 

WordPressのログイン履歴を表示するプラグイン。どこから、どのID/PWでログインをしたか、ログインに失敗したかが表示されるので状況を理解するには必須。設定は至って簡単で、プラグインのインストールから「Crazy Bone」を探して有効化すればOK。管理画面のユーザメニューに「ログイン履歴」というのが表示されます。ちなみに私のブログの場合、1日で不正アクセスが16件もありました。これをみてむやみに恐れるのではなく現実として受け止めて、日々ウオッチをしながら次のセキュリティ対策の情報としてストックしておきましょう。

ログイン履歴

ウオッチを続けてあまりにも同じIPからのログイン回数が多い場合は、ログイン回数を制限するプラグンを入れておくのもよいと思います。

Simple Login Lockdown
http://wordpress.org/plugins/simple-login-lockdown/

Simple Login Lockdownは同一IPアドレスからのアクセスで連続してログイン失敗すると、一定期間経過するまではそのIPアドレスからのログイン操作が出来なくなるというもの。こちらもプラグインのインストールから「Simple Login Lockdown」を探して有効化すればOK。管理画面の「設定→表示設定」に表示されるので、そちらでアクセス数や時間の設定を行ってください。

ログイン回数制御

 

3. 【上級編】管理画面へのアクセスを決まったIPアドレスからのみ可能とする。

固定の環境やPCで作業をされる場合はいいと思うのですが、外でWifiを使って更新する場合はかなり不便になりますのでサイトの運用条件に合わせて設定してください。例えばかなりセンシティブな情報を扱っている方やとにかくとても心配という方向けでしょうか。

設定方法は wp-adminフォルダの下に.htaccessを作成し

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx ←IPアドレス

を記述すればOK 。指定したIPアドレスのみ管理画面にアクセスすることができます。

4.やはり基本的なことは怠らない!

すごくシンプルですがやはりよく言われているセキュリティの基本対策は忘れずに対応しておきましょう。

  • WordPressを最新版にする。
  • バックアップを定期的にとる。
  • パスワードを推測しにくいものにする、可能であれば定期的に変更する。

現状できるWordPressのセキュリティ対策はいかがでしたか?
セキュリティ対策はいたちごっこなので上記の設定をしたからといって安心せず、常に世の中の情報に意識しながら必要に応じてアップデートやセキュリティ対策を施してくださいね。

<参考サイト>
WordPressの管理画面への不正アクセス対策 
http://tech.basicinc.jp/WordPress/2013/05/19/wordpress-security/