WordPressのセキュリティを見直そう【ロリポップ大規模攻撃】
約4ヶ月ほど前(2013年8月末)にレンタルサーバー大手のロリポップ!が大規模な攻撃を受けました。
サイトの改ざんを行うものであり、改ざんされたサイトは下記のようになっていました。
- サイトタイトルが「Hacked by Krad Xin」になる
- サイト全体が文字化けする
- サイトのキャッチコピーが「BD GREY HAT HACKERS」になる
幸い管理サイトの改ざんはなく、大きな問題はありませんでしたが肝を冷やしました。
正直、サイト改ざんとかは他人ごとと言いますか「自分だけは安全である」と根拠の無い自信があったのです。
そんな訳で本日はセキュリティを高めるプラグインをご紹介します。
治療よりも予防とはよく言ったもので、万が一に備えて導入することをオススメします。
目次
セキュリティプラグイン一覧
Login LockDown
ログイン時のセキュリティを強化するプラグイン。
ユーザー名やPASSを指定した回数以上間違えると一定時間ログインを不能にできます。
管理画面の左サイドバー「プラグイン」 > 新規追加 > Login LockDownで検索
Login LockDownをインストールして有効化しましょう
有効化をすると
管理画面の左サイドバー「設定」 > Login LockDown が出現します。
上の設定では下記のように扱われます。
5分以内に3回ログインに失敗すると60分間ログインが不能になる
お好みで数値の設定をしてみてください。
Lockout Invalid Usernames? -ユーザー名を間違えた時も試せる回数を減らすか設定
Mask Login Errors? -エラー時のメッセージをセキュリティの高いものにするかの設定
セキュリティのレベルを上げたい場合は両方とも「YES」と設定しましょう。
Currently Locked Out -ログイン拒否されたIPアドレスが表示されます
手軽に設定可能で効果が高いプラグインです。
ぜひ、導入をしてみてください。
Crazy Bone(狂骨)
ログインの履歴の詳細を確認できるプラグイン。
怪しいIPアドレスからのアクセスを確認可能です。
管理画面の左サイドバー「プラグイン」 > 新規追加 > Crazy Boneで検索
Crazy Boneをインストールして有効化しましょう
有効化をすると
管理画面の左サイドバー「ユーザー」 > ログイン履歴 が出現します。
プラグイン「WP-Ban」と組み合わせて使用を行えば、指定したIPアドレスからアクセスを拒否出来ます。
その他のセキュリティプラグイン
Force Email Login
ユーザー名ではなく「メールアドレス」を使用してログインが可能になります。
Spirits and Goblins(魍魎)
二段階認証でログインが行えるようになります。
セキュリティの基本
ユーザー名、パスワードを複雑に設定
基本中の基本ですがユーザー名、パスワードを複雑にしましょう。
もっとも基本的でもっとも効果がある対策だと思います。
実はユーザー名も変更が可能です。
もし簡単なユーザー名(adminなど)の場合は変更を行いましょう。
また、必ず8文字以上に設定を行いましょう。
また、ユーザー名、パスワードを複雑なものにする場合に下記のサイトが役立ちます。
生成されたパスワードを利用せずに複数をメモ帳などにコピペしてさらに自分でパスワードを作り直しましょう。
常に最新のWordPressを利用する
結構、面倒で変えたくない方も多いと思います。
頑張ってバージョンアップをしましょう。
WordPressそのものの脆弱性を攻撃してくるパターンがあるので重要です。
WordPressのバージョンアップの際の注意としては
- バックアップを必ず取る
- 使用しているプラグインを止める
かなり大事です。
むかしバージョンアップに失敗して泣きそうになりました。
怪しいプラグイン・テーマを使わない
基本的に有料のもの、公式からダウンロード出来るもの以外は使用しない方が吉です。
特に海外テーマは魅力的な無料テーマが数多く存在しています。
しかし危険性が指摘されているので使用時には注意が必要です。
また、公式でも最新のバージョンが数年前などのプラグイン・テーマは避けた方が無難です。
すでに最新の危険には対応が出来ていない可能性があるからです。
wp-config.phpのパーミッション変更
wp-config.phpには重要な情報が書かれているようです。
ロリポップ!への攻撃もwp-config.phpから行われたそうです。
問題が起こる前はパーミッションが「644」に設定されていたものが
現在では「400」に変更されています。
※ロリポップ!サーバーの場合
もし自分のパーミッション「644」の場合は400に変更を行いましょう。
まとめ
たぶん今更感がある内容だったと思います。
WordPressをいじっている人にとっては常識であり基本。
そして見落としがちなものだと思います。
更に言えば高をくくっている部分であると思います。
この手の改ざんはなってからでは遅いので事前に対策を行う必要があります。
面倒だとは思いますが、WordPressを導入している方は対策を!
コメント
[…] WordPressのセキュリティを見直そう【ロリポップ大規模攻撃から4ヶ月】 […]
[…] WordPressのセキュリティを見直そう【ロリポップ大規模攻撃から4ヶ月】 […]