WordPressのセキュリティを見直そう【ロリポップ大規模攻撃】

約4ヶ月ほど前(2013年8月末)にレンタルサーバー大手のロリポップ!が大規模な攻撃を受けました。

平素はロリポップ!レンタルサーバーをご利用いただき誠にありがとうございます。先日より対応しておりました第三者によるユーザーサイトの改ざんに関してこれまでの経緯と実施した対策についてご報告いたします。今回の件におきましては、簡単インストールで配布していたパッケージの不備とサーバー側のディレクトリパーミ...

サイトの改ざんを行うものであり、改ざんされたサイトは下記のようになっていました。

  • サイトタイトルが「Hacked by Krad Xin」になる
  • サイト全体が文字化けする
  • サイトのキャッチコピーが「BD GREY HAT HACKERS」になる

幸い管理サイトの改ざんはなく、大きな問題はありませんでしたが肝を冷やしました。

正直、サイト改ざんとかは他人ごとと言いますか「自分だけは安全である」と根拠の無い自信があったのです。

そんな訳で本日はセキュリティを高めるプラグインをご紹介します。
治療よりも予防とはよく言ったもので、万が一に備えて導入することをオススメします。

スポンサーリンク

セキュリティプラグイン一覧

Login LockDown

Protect login form by limiting the number of login attempts from the same IP and banning IPs.

ログイン時のセキュリティを強化するプラグイン。
ユーザー名やPASSを指定した回数以上間違えると一定時間ログインを不能にできます。

管理画面の左サイドバー「プラグイン」 > 新規追加 > Login LockDownで検索
Login LockDownをインストールして有効化しましょう

有効化をすると
管理画面の左サイドバー「設定」 > Login LockDown が出現します。

Login LockDown-1

上の設定では下記のように扱われます。

5分以内3回ログインに失敗すると60分間ログインが不能になる

お好みで数値の設定をしてみてください。

Lockout Invalid Usernames? -ユーザー名を間違えた時も試せる回数を減らすか設定
Mask Login Errors? -エラー時のメッセージをセキュリティの高いものにするかの設定

セキュリティのレベルを上げたい場合は両方とも「YES」と設定しましょう。

Currently Locked Out -ログイン拒否されたIPアドレスが表示されます

手軽に設定可能で効果が高いプラグインです。
ぜひ、導入をしてみてください。

Crazy Bone(狂骨)

Tracks user name, time of login, IP address and browser user agent.

ログインの履歴の詳細を確認できるプラグイン。
怪しいIPアドレスからのアクセスを確認可能です。

管理画面の左サイドバー「プラグイン」 > 新規追加 > Crazy Boneで検索
Crazy Boneをインストールして有効化しましょう

有効化をすると
管理画面の左サイドバー「ユーザー」 > ログイン履歴 が出現します。

プラグイン「WP-Ban」と組み合わせて使用を行えば、指定したIPアドレスからアクセスを拒否出来ます。

その他のセキュリティプラグイン

Force Email Login

Use your email address instead of a username to login into your WordPress.

ユーザー名ではなく「メールアドレス」を使用してログインが可能になります。

Spirits and Goblins(魍魎)

This plugin enables 2-step verification using one-time password when you log in your WordPress.

二段階認証でログインが行えるようになります。

WordPress で、メールまたは SMS でワンタイムパスワードを発行して二段階認証ができるようにするプラグイン「魍魎」を公開しました。 「絡新婦」「狂骨」に続く、日本の妖怪シリーズ第三弾です。 現在、公式プラグイン

セキュリティの基本

ユーザー名、パスワードを複雑に設定

基本中の基本ですがユーザー名、パスワードを複雑にしましょう。
もっとも基本的でもっとも効果がある対策だと思います。

実はユーザー名も変更が可能です。
もし簡単なユーザー名(adminなど)の場合は変更を行いましょう。
また、必ず8文字以上に設定を行いましょう。

また、ユーザー名、パスワードを複雑なものにする場合に下記のサイトが役立ちます。
生成されたパスワードを利用せずに複数をメモ帳などにコピペしてさらに自分でパスワードを作り直しましょう。

パスワード生成(パスワード作成)するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成(自動作成)することができるツールです。利用は完全無料です。

常に最新のWordPressを利用する

結構、面倒で変えたくない方も多いと思います。
頑張ってバージョンアップをしましょう。

WordPressそのものの脆弱性を攻撃してくるパターンがあるので重要です。
WordPressのバージョンアップの際の注意としては

  • バックアップを必ず取る
  • 使用しているプラグインを止める

かなり大事です。
むかしバージョンアップに失敗して泣きそうになりました。

怪しいプラグイン・テーマを使わない

基本的に有料のもの、公式からダウンロード出来るもの以外は使用しない方が吉です。
特に海外テーマは魅力的な無料テーマが数多く存在しています。
しかし危険性が指摘されているので使用時には注意が必要です。

また、公式でも最新のバージョンが数年前などのプラグイン・テーマは避けた方が無難です。
すでに最新の危険には対応が出来ていない可能性があるからです。

wp-config.phpのパーミッション変更

wp-config.phpには重要な情報が書かれているようです。
ロリポップ!への攻撃もwp-config.phpから行われたそうです。

問題が起こる前はパーミッションが「644」に設定されていたものが
現在では「400」に変更されています。
ロリポップ!サーバーの場合

もし自分のパーミッション「644」の場合は400に変更を行いましょう。

ロリポップ!をご利用のお客さまへサイト改ざんへの予防・対策に関する重要なお知らせです。

まとめ

たぶん今更感がある内容だったと思います。
WordPressをいじっている人にとっては常識であり基本。

そして見落としがちなものだと思います。

更に言えば高をくくっている部分であると思います。

この手の改ざんはなってからでは遅いので事前に対策を行う必要があります。
面倒だとは思いますが、WordPressを導入している方は対策を!

参考サイト様

この記事をお届けした
O3 WEBの最新ニュース情報を、
いいねしてチェックしよう!
スポンサーリンク

コメント

  1. 七竈さんのGalleryページに「イラスト」を追加しました | 絵動 -kaiDo- より:

    […] WordPressのセキュリティを見直そう【ロリポップ大規模攻撃から4ヶ月】 […]

  2. […] WordPressのセキュリティを見直そう【ロリポップ大規模攻撃から4ヶ月】 […]