WordPressのセキュリティを見直そう【ロリポップ大規模攻撃】

約4ヶ月ほど前（2013年8月末）にレンタルサーバー大手のロリポップ！が大規模な攻撃を受けました。

第三者によるユーザーサイトの改ざん被害に関するご報告 - ロリポップ！レンタルサーバー

ロリポップ！レンタルサーバー 2013年08月29日 10時57分 新着情報「第三者によるユーザーサイトの改ざん被害に関するご報告」についてのページです。

lolipop.jp

サイトの改ざんを行うものであり、改ざんされたサイトは下記のようになっていました。

• サイトタイトルが「Hacked by Krad Xin」になる
• サイト全体が文字化けする
• サイトのキャッチコピーが「BD GREY HAT HACKERS」になる

幸い管理サイトの改ざんはなく、大きな問題はありませんでしたが肝を冷やしました。

正直、サイト改ざんとかは他人ごとと言いますか「自分だけは安全である」と根拠の無い自信があったのです。

そんな訳で本日はセキュリティを高めるプラグインをご紹介します。
治療よりも予防とはよく言ったもので、万が一に備えて導入することをオススメします。

セキュリティプラグイン一覧

Login LockDown

Login Lockdown – Protect Login Form

Protect login form by limiting the number of login attempts from the same IP & banning IPs.

wordpress.org

ログイン時のセキュリティを強化するプラグイン。
ユーザー名やPASSを指定した回数以上間違えると一定時間ログインを不能にできます。

管理画面の左サイドバー「プラグイン」 ＞ 新規追加 ＞ Login LockDownで検索
Login LockDownをインストールして有効化しましょう

有効化をすると
管理画面の左サイドバー「設定」 ＞ Login LockDown が出現します。

上の設定では下記のように扱われます。

5分以内に3回ログインに失敗すると60分間ログインが不能になる

お好みで数値の設定をしてみてください。

Lockout Invalid Usernames? -ユーザー名を間違えた時も試せる回数を減らすか設定
Mask Login Errors? -エラー時のメッセージをセキュリティの高いものにするかの設定

セキュリティのレベルを上げたい場合は両方とも「YES」と設定しましょう。

Currently Locked Out -ログイン拒否されたIPアドレスが表示されます

手軽に設定可能で効果が高いプラグインです。
ぜひ、導入をしてみてください。

Crazy Bone（狂骨）

Crazy Bone

Tracks user name, time of login, IP address and browser user agent.

wordpress.org

ログインの履歴の詳細を確認できるプラグイン。
怪しいIPアドレスからのアクセスを確認可能です。

管理画面の左サイドバー「プラグイン」 ＞ 新規追加 ＞ Crazy Boneで検索
Crazy Boneをインストールして有効化しましょう

有効化をすると
管理画面の左サイドバー「ユーザー」 ＞ ログイン履歴 が出現します。

Wordpressプラグイン WP-Banで不正アクセスをブロックしよう！ – STYLE-EASY

style-easy.jp

プラグイン「WP-Ban」と組み合わせて使用を行えば、指定したIPアドレスからアクセスを拒否出来ます。

その他のセキュリティプラグイン

Force Email Login

Force Email Login

Use your email address instead of a username to login into your WordPress.

wordpress.org

ユーザー名ではなく「メールアドレス」を使用してログインが可能になります。

Spirits and Goblins（魍魎）

Spirits and Goblins

This plugin enables 2-step verification using one-time password when you log in your WordPress.

wordpress.org

二段階認証でログインが行えるようになります。

WordPress で二段階認証を可能にするプラグイン「魍魎」 - dogmap.jp

WordPress で、メールまたは SMS でワンタイムパスワードを発行して二段階認証ができるようにするプラグイン「魍魎」を公開しました。 「絡新婦」「狂骨」に続く、日本の妖怪シリーズ第三弾です。 現在、公式プラグイン

dogmap.jp

セキュリティの基本

ユーザー名、パスワードを複雑に設定

基本中の基本ですがユーザー名、パスワードを複雑にしましょう。
もっとも基本的でもっとも効果がある対策だと思います。

実はユーザー名も変更が可能です。
もし簡単なユーザー名（adminなど）の場合は変更を行いましょう。
また、必ず8文字以上に設定を行いましょう。

また、ユーザー名、パスワードを複雑なものにする場合に下記のサイトが役立ちます。
生成されたパスワードを利用せずに複数をメモ帳などにコピペしてさらに自分でパスワードを作り直しましょう。

パスワード生成（パスワード作成）ツール

パスワード生成（パスワード作成）するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成（自動作成）することができるツールです。利用は完全無料です。

www.luft.co.jp

常に最新のWordPressを利用する

結構、面倒で変えたくない方も多いと思います。
頑張ってバージョンアップをしましょう。

WordPressそのものの脆弱性を攻撃してくるパターンがあるので重要です。
WordPressのバージョンアップの際の注意としては

• バックアップを必ず取る
• 使用しているプラグインを止める

かなり大事です。
むかしバージョンアップに失敗して泣きそうになりました。

怪しいプラグイン・テーマを使わない

基本的に有料のもの、公式からダウンロード出来るもの以外は使用しない方が吉です。
特に海外テーマは魅力的な無料テーマが数多く存在しています。
しかし危険性が指摘されているので使用時には注意が必要です。

また、公式でも最新のバージョンが数年前などのプラグイン・テーマは避けた方が無難です。
すでに最新の危険には対応が出来ていない可能性があるからです。

wp-config.phpのパーミッション変更

wp-config.phpには重要な情報が書かれているようです。
ロリポップ！への攻撃もwp-config.phpから行われたそうです。

問題が起こる前はパーミッションが「644」に設定されていたものが
現在では「400」に変更されています。
※ロリポップ！サーバーの場合

もし自分のパーミッション「644」の場合は400に変更を行いましょう。

サイト改ざんの対策方法 - ロリポップ！レンタルサーバー

ロリポップをご利用のお客様のプログラムの脆弱性を突かれ、Webサイトが改ざんされることがあります。対策方法をイラストとともにわかりやすくご紹介します。

lolipop.jp

まとめ

たぶん今更感がある内容だったと思います。
WordPressをいじっている人にとっては常識であり基本。

そして見落としがちなものだと思います。

更に言えば高をくくっている部分であると思います。

この手の改ざんはなってからでは遅いので事前に対策を行う必要があります。
面倒だとは思いますが、WordPressを導入している方は対策を！

参考サイト様

• WordPressのセキュリティを強化させる４つの手順！後回し厳禁です

イラスト図解式 この一冊で全部わかるセキュリティの基本

created by Rinker

¥1,663 (2024/04/18 14:20:54時点 Amazon調べ-詳細)

• Kindle
• Amazon
• 楽天市場