不正アクセスする理由と最新セキュリティー対策　SiteGuard WP Plugin　WordPress　2017年

非常に許しがたい事であり憤りを感じますが、WordPress(ワードプレス)のサイトへの不正アクセスが多発しています。(私のサイトにですが、このサイトではありません。)

普段、あまりアクセスログなどは確認していないのですが、なんか転送量が最近増えているな？と思い、確認してみましたら、adminだけが突出してアクセスが多くなっていました。

間違えなく、WordPressの管理画面へのログインを突破しようとしてるものと感じました。
※各画像はクリックすると拡大します。

そこで、Crazy Bone　と言う、日本人の方が公開なさっているプラグインを入れて、数日確認しましたら、1日に100回以上も、ログインを試みている形跡があるではないですか？
しかも、ロシア・フランス・アメリカ・カナダ・ウクライナ・メシキコなど、あらゆる各国から不正アクセスがあります。

本当にひどいですよね。

不正アクセスしてくる理由

ブルートフォースアタックしてWordPressに不正侵入する目的は、色々あります。
ちょっとしたいたずら目的から、アフィリエイトサイトの競合潰し理由として本格的な乗っ取りまで、様々です。

例を挙げますと・・。

ログインした先にある個人情報の取得

問い合わせなどがあった際に、ハッキングした人に、その内容が自動でメール送信されるプログラムをテーマディレクトリ内に置く・・。

広告タグを不正侵入者が自分のタグに書き換える

PHPやjavaスクリプトを置いて、サイトにアクセスしてきた人にウイルスが送信される・・。
※ウイルスをばらまいている人が分からないようにするというよりは、そのWordPress運営者がばらまいたように見せかける・・。

ハッキングした人のウェブサイトへ誘導するスクリプトをこっそり入れる・・。

投稿記事の本文に、ハッキングした人のサイトへの誘導リンクを入れる・・。

これらを手動と言うよりは、ほぼ「自動」で処理してきますので、容疑者側は罪の意識が低いです。

特にロシアや中国からのアタックが多いですが、もちろん、他の国の人がロシアや中国からと偽装している可能性もあります。

とは言え、実害もない以上、警察も動いてくれないですから、泣く泣く自分で対策を講じるしかありません。
できれば、余計なプラグインなど増やしたくありませんし、そんな時間があったら、もっと他の事に有益に使えますから、無駄な作業となり怒り心頭です。しかし、頑張りました。

色々と調べて見ましたら、SiteGuard WP Plugin と言うセキュリティー専用プラグインが、非常によさそうですので、当方のWP全サイトに導入致しました。

SiteGuard WP Plugin

2014年10月24日から提供開始された、2015年度としても最新の無料プラグインです。
また、日本製(国産)プラグインですので、管理画面も日本語でわかりやすいです。
しかも、レンタルサーバーで有名な「さくらインターネット」さんも、このプラグイン製作元のセキュリティ対策を導入しているくらいですので、信頼性もバツグンです。
と言う事で、ほんと、国産のプラグインは素晴らしいですよね？
もっと、色々な分野でも国産プラグインが出て切る事を期待したいと思います。

さて、インストール完了すると、初期設定(デフォルト)では、いつもログインするためのURLが、すでに変更になっています。

控え忘れますと、ログインするときのURLがわからなくなってしまいますので、先にメモをするなど、控えることを忘れずに対応しておきましょう。

万が一、わからなくなってしまった場合は、プラグインのシステムから自動で最初、メールが届いていると思いますので、そのメールは削除せずに残しておくと良いかと存じます。

どうしても本当にログインできなくなってしまった場合は、プラグインの提供元である、JP-Secureさんのホームページに解決法が掲載されています。
この点、日本の企業さんですので、説明もわかりやすく非常にありがたいですよね。
ただし、作業は大変なので、極力、最初の段階できちんと対応しておきましょう。

上記が、SiteGuardの管理画面です。
設定方法(使い方)も各項目を設定して保存を押すだけですので、簡単です。

・管理ページアクセス制限

ログインしていない接続元から管理ディレクトリ（/wp-admin/）を守ります。
私の場合は、まずはデフォルトのままで様子を見る事にしました。

・ログインページ変更

ログインページ名（URL）を変更します。
これは、上記でも触れましたが、デフォルトのままで変更処置を有効としました。

・画像認証

ログインページ、コメント投稿に画像認証を追加します。
すなわち、ログイン画面だけでなく、コメント投稿の画面などにも、画像認証を導入できると言う多機能になっています。
このサイトでもコメント欄に採用しています。
よくありがちな「英数字」だけでなく「ひらがな」認証も設定可能なので、悪意ある外国人対策としてはもってこいです。
このあたり、国産プラグインですので、ありがたいところですね。

コメント欄のひらがな画像認証は非常に有効でして、外国からのスパム対策にもなります。

通常のサイトは問題なかったのですが、私の場合は、cloudflare を使用しているサイトが一部ありまして、その場合、キャッシュが働いてしまい、画像認証の「画像」が表示されない現象が発生しました。
もちろん、直接サーバーにアクセスが行った時は表示さるのですが、アクセス分散している他の国のサーバーに繋がった際には、画像が表示されませんので、その場合のサイトにおいては、画像認証をOFFにせざるをえませんでした。
ただし、ログイン画面のURLが変更されていて、短時間のログインロック機能が有効なだけでも、かなり効果があるはずですので、cloudflare 使用中のサイトにおいては、画像認証はOFFで様子を見ています。

・ログイン詳細エラーメッセージの無効化

ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
これもデフォ設定のままにしました。

・ログインロック

ログイン失敗を繰り返す接続元を一定期間ロックします。
この機能は有効ですね。
上記の不正アクセスログ画像でもわかるように、1秒単位で連続アクセスしてきた場合などにブロックできます。

・ログインアラート

ログインがあったことを、メールで通知します。
複数のログイン者がいる場合などには重宝すると存じます。
私はOFFにしました。

・フェールワンス

正しい入力を行っても、わざとログインを1回失敗します。
自分だけがログインするのであれば、有効ですね。
ただ、自分がログインするのに余計な時間も掛かるので、今回はそこまでせずにして様子を見ています。

・ピンバック無効化

ピンバックの悪用を防ぎます。
これは、ビンバックを使用したアクセス負荷攻撃を受けた際に有効ですね。
私は、今の所、ピンバック攻撃の兆候はなく、またできればSEO上、ピンバック受けたいので機能OFFです。

・通知機能

WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
あまり普段、ワードプレスの管理画面に入る事がない方は有効ですね。
私は、毎日管理画面に入り、更新情報などは把握しているため、機能OFFにしました。

・WAFチューニングサポート

WAF (SiteGuard Lite)の除外ルールを作成します。
ここまではまだ良いかな？と思い、機能OFFです。

もし、未だに、ログイン名を　admin　や　root　、 test　などお使いの場合には非常に危険ですので、その場合には、ログイン名じたいを早急に変更なさることをお勧め致します。

SSL環境の場合

WordPressをSSL化している場合でも、サイトガードは機能します。使えます。
ただし、SSLを強制的に行うようなプラグイン(例:Really Simple SSL、WordPress HTTPS)を使用している場合には、干渉してしまい、画像認証が使えない事を確認しています。
使用できない場合には、プラグインの干渉問題かと存じますので、今後のバージョンアップに期待です。

なお、上記例のプラグインを使っていないSSL化サイトでは、正常にSiteGuard WP Pluginが使用できていることも確認しています。
例えば、wpXクラウドの無料SSL化を使用して、サイトを常時SSLにした場合、SSL用のプラグインを使う必要が無いので、サイトガードが機能していますこと、ご報告申し上げます。