セキュリティ対策にオススメなSiteGuard WP Plugin。導入するだけで外部攻撃からWordPressを守る対策ができます!便利な反面、初心者が困ってしまうWordPress管理画面に入れないときの対処も書いてるので使い方・導入方法をみてください。
導入したら、履歴からログイン名とパスワードを無差別に入力し不正ログインを試みるブルートフォースアタックの的になってました。
- ブルートフォースアタックとは
- 総当り攻撃とも言われてログイン名やパスワードをしらみつぶしに解読しようと不正ログインをくり返す攻撃です。アカウント名とパスワードが一致しなければパターンを替えて突破を試みてきます。
ブログのデータを荒らされたり、変なプログラムを仕込まれたり、のっとられる前に、対策していきいましょう!WordPressのセキュリティ、サイトガードの使い方を初心者向けに説明するので、困ったときは詳細をチェックしてください。
- WordPressのセキュリティを守るプラグイン!
- SiteGuard WP Plugin導入の注意点
- サイトガードWPプラグインの使い方・ダッシュボード
- アクセス制限は、管理画面の外部攻撃を404で返す
- ログインページ変更、変更後のURL確認方法、3つ
- 画像認証のセキュリティについて
- ログイン詳細エラーメッセージの無効化
- ログインロック、ブルートフォースアタック対策にオススメ!
- ログインアラート、ログインをメールで知らせる
- 「フェールワンス」とは、2度目のログインで成功
- ピンバック無効化!オンで、ピンバックが来ない
- WordPressのセキュリティに大事!更新通知
- WAF誤認の403対策!WAFチューニングサポート
- アドレス/?author=1でログイン時のユーザー名が丸見え対策
- さいごに
WordPressのセキュリティを守るプラグイン!
WordPressの管理画面(wp-admin)への不正ログインを、あらゆる面から防ぐサイトガードプラグイン(WordPress.ORG 日本語)。
- このプラグインにある様々な機能はとくに、ブルートフォースアタック対策に特化しているともいえます。
さらにロリポップやさくら・へテムルなどのサーバーのファイアーウォールWAFの誤認の403を防ぐ機能もついてます。WAFを採用してないサーバーは不要。
これらの設定は、アクセス拒否を行うファイル『.htaccess』に難しい記載をする知識が無くても管理画面のボタン1つで設定して、外部攻撃からWordPressを守ってくれる初心者のミカタです!
- .htaccessとは
- ページやディレクトリへのアクセス制限や、リダイレクト(転送)させる条件を書けるファイルです。
.htaccessをセットしたディレクトリとその下層に設定が反映されるけど、記載が難しいのと、書き方や文字コードなどを間違ったらブログが真っ白になるなどの500エラーを出してしまいます。
セキュリティ強化の1つとしてワードプレスの「SiteGuard WP Plugin」を入れたらすぐに守られます。サイトガードの導入方法と使い方、『.htaccess』に書かれた設定を確認したいとき必要となる場合があるので同時に見ていきましょう!
SiteGuard WP Plugin導入の注意点
サイトガードの導入と、導入後の使い方を説明します詳細は後述。
WordPress管理画面、ダッシュボード内よりインストールします。手順は下記。
- プラグインより
- 新規追加を選択
- プラグインの検索から「SiteGuard WP Plugin」を入力
- 検索で出てきた『SiteGuard WP Plugin』の「今すぐインストール」と選択
※有効化すれば、WordPressのデフォルトのログインurlからすぐ、変更されます。
- http://ドメイン/wp-login.php/から
- http://ドメイン/login_12345/(数字は乱数が入る)に即変更
ログインページのURLの変更を知らせるページに飛んだら『新しいログインページURL』をクリックして、その画面をブックマークしてくださいね。
停止して有効化する毎にlogin_12345の5桁の数字は変更される。
有効化したら即レンタルサーバーの.htaccessに情報が加えられhttp://ドメイン/wp-login.php/のログインアドレスが/login_×××××/に変更
WordPressにログインできなくなった場合
サイトガードを導入しログイン画面にアクセスできなくなった場合。あなたのアドレスの後ろに下記を付け加え、http://ほげ.com/wp-adminに。
/wp-admin
サイトガードで生成されたログインURLを転送する.htaccessの記載によって、ログイン画面に転送されログイン可能になります。
404が出てログインできない場合は、見出し『アクセス制限は、管理画面の外部攻撃を404で返す』へ。
サイトガードWPプラグインの使い方・ダッシュボード
プラグインを有効にしたら、ダッシュボード内『設定』下にある『SiteGuard』より『ダッシュボード』。そこに、現在の設定状況・ログイン履歴の2種類の状況がみれます。
WAFチューニングサポート以外は、on・offの変更・保存だけで有効化されるので、メチャクチャ簡単!
ログイン履歴は、最大10001個の履歴が見れてそれ以降のログは削除されます。
- 管理ページアクセス制限
使って不便さを感じることがあり、オンオフを切り替えてます(後述)。
- フェールワンス
ログインを1回失敗するのが、わずらわしい時オフにするくらいで一度設定したら、不具合がない限り放置(詳しくは後述)。
WordPress不正ログイン履歴の見かた・セキュリティの効果
サイトガードのダッシュボード設定状況の下。ログイン履歴には日時と結果、ログイン名と、IPアドレスが書かれてます。
知らない人がログインを試した不正ログイン履歴が見れます。私のログイン成功が4ページ分400件弱、その他9600件は不正ログイン履歴と多過ぎですね。
結果は失敗となってるけど、その他フェールワンス・ロック・成功などあります。
サイトガードのセキュリティで守られた結果が書かれてるワケです!
ブルートフォースアタックからセキュリティで守った履歴
ブルートフォースアタックはログイン名とパスワードをしらみつぶしで変えてきます。(総当り攻撃)その数は最大10001個の履歴に残らないほど凄いです。ロックして守るのがSiteGuard WP Plugin!
上記画像の89ページ目以降ところどころ見る限り、すべて同一IPアドレス。ブルートフォースアタックで27秒で9000回以上の不正ログインをロックした設定に脱帽です!
アクセス制限は、管理画面の外部攻撃を404で返す
デフォルトのオフから『オン』にして『変更を保存』すると、WorsPressにログインしてないIPアドレスから管理画面に入ろうとすると404 Not Foundページを表示します。
IPアドレスを制限して、そのIPアドレス以外で管理画面にアクセスしたら404 Not Foundページを返すことで外部からの攻撃を阻止できるんです。
ログインしてるIPアドレスの制限は『.htaccess』に自動的に記載される仕組みになってて、IPアドレスの追加ができてるか確かめたいとき.htaccessを見ます。
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^404-siteguard - [L]
RewriteRule ^wp-admin/css - [L]
RewriteRule ^wp-admin/images - [L]
RewriteRule ^wp-admin/admin-ajax.php - [L]
RewriteCond %{REMOTE_ADDR} !^(12\.34\.567\.89)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789$
RewriteCond %{REMOTE_ADDR} !^★IPアドレス★$
RewriteRule ^wp-admin 404-siteguard [L]
</IfModule>
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END
IPアドレスの半角ドット『.』『\.』って形に置き換えられ『\』は反対向いた『バックスラッシュ』が自動的に入ります。例:12.34.567.89→12\.34\.567\.89。
- IPアドレスかを確認するには、使用中のIP確認でチェック
IPアドレスを登録は、24時間以上ログインしてないと.htaccessから削除されます。出先で別のワイファイ圏内に入ったときも、管理画面は404ページに。
- 使い勝手を考えてON、OFFに切り替えてください。
404ページを返す設定は攻撃する側からすると難易度が上がるので、セキュリティ面では有効です。
WordPressにログイン画面で404ページが出るときの対処1
管理ページアクセス制限をONにしてから、ログインしようとしたとき404になりダッシュボードにはいれないのは、スマホのワイファイを切った状態などIPアドレスが変わったからです。
- 入れるデバイスPCなどで『OFF』切り替えにしてログインして『変更を保存』したらログインできます。
画面にIP警告画面がでますけど、自分のIPアドレスだと確認できたら何度か非表示にすればOK!(入れない場合は後述)
気になるようなら、再度ONにすれば、管理画面への攻撃から救ってくれるので安心度が高まりますね!
WordPressログイン時、404の制限を解除する2つの対処法2
管理画面に入れないで404ページが出るのは、WordPressの.htaccessと言うファイルでIP制限されているからです。
- この機能をONにした時のIPアドレス以外は、ページが存在しないというステータスコード404を表示する設定になっている。
その制限を削除する方法は2つ。
- .htaccessファイルの編集でIPアドレスの変更をする
- プラグインを一旦、無効にする
.htaccessを編集してアクセス制限を解除
.htaccessサイトガードによる管理画面をフィルタする記載、IPアドレス以外から管理画面へアクセスがあったら404ページを返す下記を丸々削除します。
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^404-siteguard - [L]
RewriteRule ^wp-admin/css - [L]
RewriteRule ^wp-admin/images - [L]
RewriteRule ^wp-admin/admin-ajax.php - [L]
RewriteCond %{REMOTE_ADDR} !^(12\.34\.567\.89)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789$
RewriteCond %{REMOTE_ADDR} !^★IPアドレス★$
RewriteRule ^wp-admin 404-siteguard [L]
</IfModule>
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END
するとサイトガードの『管理ページアクセス制限』もオフに変わり、管理画面に入れます。.htaccessがどこにあるかは、使用中のWordPressブログのディレクトリ(階層の下・wp-adminのある階層)内です。
ファイルの場所が分かりにくい場合。
下記リンク、目次2.1.1の.htaccessファイルをコピペする場所(ディレクトリ)はどこ?を、チェックしてください。
使用中のブログ(独自ドメイン・サブドメイン・サブディレクトリ)の該当.htaccessファイルの上の記載を削除してください。
※ファイルは削除しない!
※削除する箇所を間違ったとき、エラーが出る可能性があるのでファイルをコピーして、メールやメモ帳などに保存してると安心です。
LINK500 Internal Server Error・404 File Not Found!サーバー移行・WordPressファイルの入れ替えでエラー・原因と解決方法.htaccess編
強制エラーを出し、プラグインを無効化してログイン
FTPに入ってサイトガードプラグインの名前を変更することで、強制エラーを出して無効化する方法、こちらはもっと簡単です。
『siteguard』のフォルダ名を『_siteguard』などに変えて、再度『siteguard』と元に戻せば停止します。これで再度インできますよ。
パス:該当ブログ.com(/public_html)/ wp-content / plugins / siteguard
- siteguardの名前を変更→ _siteguard
- 名前変更すればエラーが出る。
- 強制的なエラーを出したから、簡単に外れる
- 再度、名前を変更→ siteguard
- 強制エラーの解除
これでプラグインが外れログインできます。ただし設定は初期化されるので、注意してください。
どんな風になるか心配なら
下記リンク目次3.2:全てのプラグインを一括で停止させて外す方法に流れを画像付きで書いてるので、チェックしてから行ってください^^
ログインページ変更、変更後のURL確認方法、3つ
ログインページのディレクトリ名の変更ができる画面になります。
http://hoge.com/wp-login.php/への不正アクセスに対して、セキュリティ強化するには別名に書き換えておけば安心。有効化するだけで変更できる。
変更されたログインページ名は下記『ログインページ変更』で確認できます。『login_12345』
変更後のログインページのURL。更に『sawayaka888』などの別名に変更も可能。
RewriteRule ^sawayaka888(.*)$ wp-login.php$1 [L]
管理画面からの変更で、書き方の難しい.htaccessファイルに即反映。
- /wp-login.php/は終了して/login_12345/を使用するよぉ!
- /wp-login.php/から/sawayaka888/に変更ね。と言うコードを自動的に追加。
WordPressログイン画面の変更urlを確認したい!.htaccess編
使用中のブログのディレクトリ内の.htaccessファイルを見れば解ります。
- /ドメイン(/public_html)/.htaccessファイルを開いて見る
- /ドメイン(/public_html)/サブディレクトリ/.htaccess
- /サブドメイン(/public_html)/.htaccess
#SITEGUARD_PLUGIN_SETTINGS_START #==== SITEGUARD_RENAME_LOGIN_SETTINGS_START <IfModule mod_rewrite.c> RewriteEngine on RewriteBase / RewriteRule ^login_12345(.*)$ wp-login.php$1 [L] </IfModule> #==== SITEGUARD_RENAME_LOGIN_SETTINGS_END #SITEGUARD_PLUGIN_SETTINGS_END
確認したいとき見るのは上記の6行目の『login_12345』です。これが現在のログインアドレスになります。
RewriteRule ^login_12345(.*)$ wp-login.php$1 [L]
管理画面にアクセスして、変更urlを確認する
http://ほげ.com/wp-admin/へアクセスして、リダイレクトされるURLを確認する。
- ブログURL/★ココ確認★?redirect_to=~略~
- ブログURL/login_12345?redirect_to=~略~
環境によって早くて確認できない場合は、上記のやりやすい方で確認してください。
ログインページの変更は有効だけど、見えてしまう
上述とおりログインページのディレクトリ(階層)名を変更するのは有効です。でも、http://ドメイン/wp-admin/へアクセスしたら、ログイン画面にリダイレクトされちゃうんでログインページの変更は丸見え…。
- アカウント名・パスワードと関連性のないものに!
デフォルトのログインURLである『http://ドメイン/wp-login.php/』から『http://ドメイン/login_×××××/』へと自動的に変更した状態は。
- ドメイン/wp-login.php/への総当り攻撃に対しては有効!
ただし!/login_×××××/に替えてる状態で総当りをくらった形跡のlogin_errorもあります。色んな攻撃があるから設定は、デフォルトのONのままです。
画像認証のセキュリティについて
ログインページの不正ログインや、コメントページなど無差別なスパムなどに対して有効なのが画像認証です。
海外からの攻撃なども多いなか、コードが『ひらがな』に対応してるのがポイント高い!
数秒でウン千もログインページへ進入を試みるスペックの高い攻撃や、botによるスパムコメントで困る場合には認証機能を『ON』のままにしておきましょう。
コメントページでもこの認証は格好良くはないですけど、初期設定ままです。
- プラグインWP Fastest Cacheをお使いなら以下もチェック❦
LINKSiteGuardのcaptchaが表示されない・画像が変わらない原因!WP Fastest Cacheの設定を変更すればOK
認証画像はバックアップ・上書きするたび、たまる!
この認証画像は、日々バックアップをとっていると、かなりの数がローカルのバックアップフォルダに溜まります。※バックアップフォルダを作っている場合。
毎回違う認証画像を出すので、上書き保存でバックアップをとっているなら、かなり溜まってるので気になるなら、たまにチェックしてみてくださいね。
目次:2.1 サーバーの該当のファイル・フォルダを調べる
LINKFTPソフトでバックアップが終わらないから原因調べ方!プラグインSiteGuardの画像はムダに溜まるって知ってた!?
ログイン詳細エラーメッセージの無効化
ログインのときユーザー名とパスワードに加えて、認証画面を全てクリアしたらログインできるようになります。
さらに、どの項目が間違ってるか分からないよう、『エラーメッセージの詳細』を無効にする機能です。
ONはどれを間違っても同じエラーメッセージを表示します。
エラー:入力内容を確認の上、もう一度送信してください。
OFFのときは下記のとおり。
エラー: ユーザー名 daredayo のパスワードが間違っています。 パスワードをお忘れですか ?
エラー: ユーザー名が無効です。 パスワードをお忘れですか ?
ユーザー名が正しくって、パスワードが違ってる。って親切に教えます。
攻撃者からすれば、パスワードをしらみつぶしに探せば時間の問題で突破!ですよね。『ON』のままで『無効化』しときましょう!
ログインロック、ブルートフォースアタック対策にオススメ!
ログインロックは、デフォルト設定ではログインを5秒間で3回失敗したら、1分間ロックがかかる設定になってます。ブルートフォースアタックやリストアタックなどログインを突破しようとする攻撃に有効になります!
上述の不正ログイン履歴の見分け方でブルートフォースアタックの的になっても、この設定で免れたワケです。ログイン履歴で確認したら、アカウント名やパスワードを高速で攻撃した結果、ロックがかかってる状態って容易に推測されます。
ログイン名が123456ってなってますよね。このログイン名で1秒間に68回ものロックが掛かってるのを確認したんです。実際ログイン名を『123456』『letmein』・・・『trustno1』と時々かえながら不正ログインを試みてました。
2015-12-15の4時19分53秒から、この2分半ほどで8000回以上続けられるって・・・。また時間おいて何度も来てて、、何得でやってるんでしょう!?気持ち悪いですねっ。
WordPressはオープンソースだから狙われやすいです。『プラグイン』や『ワードプレス』のバージョンのアップデートは、欠かさずにしておかないとダメですね。
ログインロックのONで、運営者がホゲェーっとしててもブログを守ってくれます!
ログインアラート、ログインをメールで知らせる
不正にログインされたとき、気が付くように登録アドレスにメールが届きます。自分がログインした場合も届くんですけどね・・・。内容は下記。
- 『ブログ名』にログインしました。
- 『詳細日時』に『アカウント名』がログインしました。
- ログイン情報
- IPアドレス
- リファラ(リンク元)
- ユーザーエージェント(アクセスしてきたブラウザの情報など)
自分のログイン情報もわかりますけど、しらない人が突破したらこれですぐにわかります。それ以前に突破されないようにパスワードを強化するのが最善ですね。
万が一のときは、下記ページで対応してください。参考に。
参考WordPressで「ブルートフォースアタック」や辞書攻撃にあった時にやってみたこと。|Web雑記帳。
「フェールワンス」とは、2度目のログインで成功
正しいアカウント名、パスワード、認証コードをいれても、一度目はログイン失敗させる機能です。二度目に成功させるので、どこかで不正に手に入れたアカウント名やパスワードの使いまわしを狙ってヒットしても、失敗したように見せかけます。
- 正しいものを入れても、1度目失敗
- 5秒後~1分以内に
- 2度目、正しいものを入れて成功
手間だけど、セキュリティを高める効果はバツグン!失敗することを頭において、有効にしてください。忘れたら「何で入れない!?」とキョトンとなります。
ログイン履歴は下記のよう表示。
2度失敗みたいになってる。。エンター早業で2回押したかも!?
通常こんな感じです
ピンバック無効化!オンで、ピンバックが来ない
WordPressの設定『ディスカッション』でピンバックを受け取る設定にしても、サイトガードで無効にしてたら、ピンバックは届きません。
- 他のWordPressブログからリンクが貼られた時、管理画面にコメントとしてピンバックが届く
- デフォルトのオンからオフにしても、今までのピンバックは届きません。
- 過去記事を修正されて再度『公開』を押した方のピンバックは届く
- リンクもらってピンバック届かないのは、この設定の場合もある。(他、はてなブログ風…とだけ。)
私は、デフォルトのONから『OFF』に変更しました。ただ、ピンバックなどによるスパムコメントでサーバーに負荷を掛ける攻撃などもあるそうなので、参考まで。
参考最近やたらとWordPressが攻撃されて500エラーになるので行ったセキュリティー対策まとめ|寝ログ
WordPressのセキュリティに大事!更新通知
WordPressやプラグイン、テーマのアップデート・アップグレードをメールで教えてくれる機能です。有効化してないテーマ・プラグインのアップデートを知らせるか、どうか選べます。
セキュリティーホールをついた攻撃のための更新やアップデートもあるので、常に最新版にしておきましょう!
- すべてのプラグイン
- すべてのテーマ
これに、チェックする!
- まったく使わないテーマ・プラグインがあれば削除!
- 更に言えば、使わないブログも不要かも
ディレクトリトラバーサルの攻撃を受けて個人情報やデータベースの情報を取られたりマルウェアを仕込まれたりする可能性があるので。
サーバーのファイアーウォール(WAF)がディレクトリへの進入禁止(403 Forbidden)を出したので接続を遮断してくれてたので助かりました。
LINKWAFがディレクトリトラバーサルの攻撃からWordPress、ブログを守るために出来ること
メールの内容は参考まで。
WordPress: 更新通知
あなたのWordPressサイトで、
実行可能な更新があります。 プラグイン:EWWW Image Optimizer は、新しいバージョンがあります。2.5.9から2.6.
0へ更新してください。
詳細:https://wordpress.org/plugins/ewww-image-optimizer/
更新ログ:https://wordpress.org/plugins/ewww-image-optimizer/changelog/
互換性: WordPress 4.4.2 との互換性: 100% (作者による評価)次のページで、更新を行なって下さい。: http://ドメイン/wp-
admin/update-core.php —
SiteGuard WP Plugin
WAF誤認の403対策!WAFチューニングサポート
ロリポップやさくら、ヘテムルなどのレンタルサーバーでは、webアプリケーションファイアーウォール『waf』ワフを導入してます。WAFとは、外部からサイトの改ざんなどの攻撃を阻止するために403ページを出して閲覧を禁止させるセキュリティです。
- WAFを使ってないサーバーはこの機能はOFFでOK!
- さくら・へテムル・ロリポップなど、WAFの誤認対策をする場合ONに
WordPress運営者の管理画面から更新したとき、外部攻撃と勘違いして『誤認の403 Forbidden』のエラーを出してしまう困った面もあります。
はじめに下記リンク先のよう、WAFを切って対処してください。
LINK403エラーの原因はWAF!対処し解決する方法!:ロリポップ、さくら、ヘテムルのサーバー
その後WAFチューニングサポートからシグネチャ(攻撃のルール)を追加して使用すれば誤認が減っていきます。
- WAFはどのような攻撃を防ぐセキュリティなのか。
- 詳しいWAFチューニングサポートからシグネチャ(攻撃のルール)を追加方法
下記リンクより確認してください。
LINK403 Forbidden誤認対策、WAFチューニングサポートのルール追加!WordPressサイトガードの設定
アドレス/?author=1でログイン時のユーザー名が丸見え対策
あとはログイン時のユーザー名:誰にも見られたくないですよね。
サイトアドレス/?author=1と入れると、サイトアドレス/author/ログイン時のユーザー名/と表示され、誰にでも知られてしまいます。怖い><
ログインのユーザー名がバレるとあとは、パスワードの総当たり攻撃で外部から侵入されるのは時間の問題です。※時間をかけられると必ず突破されてしまう危険性がかなり高い。
そうなると記事を書き換え、メールアドレスの変更・パスワードの変更などもされるかもしれません。
対策として、Edit Author Slugを導入・有効化すると、管理画面のユーザーよりあなたのプロフィールから1番下へスクロールしてEdit Author Slug欄が現れます。
Edit Author Slugでログインユーザー名のスラッグ変更
- 1を選択
- またはカスタム設定で任意の文字列に変更
これでプラグインを有効にしている限り、ひとまず安心できそうです。
参考ログインユーザー名について|Simplicityフォーラム
参考WordPressサイトを運営するなら、とりあえずはやっておきたいセキュリティー対策まとめ|寝ログ
さいごに
スパムを振り分けてブロックしてくれるプラグイン、Akismetも同様で初心者やWordPress運営者にとって欠かせないプラグインです。
LINKWordPress初心者へ!おすすめプラグイン、最低限入れると良いもの
- あとはパスワードの強化
パスワードを強靭なもの大文字・小文字・数字を組み合わせることで、不正ログインが成功しにいから、安心度だけでなくセキュリティ度が増します。
- セキュリティーホール・脆弱性をついた攻撃が発覚したら
プラグインやWordPressのアップグレード・アップデートなど更新されるときがあります。大事なので更新は、行ったほうがいいですよ。
※更新で管理画面などの不具合が出る場合も、たまにあります。
WordPressの更新はデータベースのバックアップ、プラグインはファイルのバックアップをとって、更新してください。下記を参考にどうぞ。
それでは、かうたっくでしたっ!
Comments