むねさだブログ

またの名を「わんぱくブログ」食・写真・ガジェットを使用した感想や情報を発信中!!

【要注意!】WordPressを使ったブログのサイドバーに「サイト管理」を残している人は即、外した方が良いぞ…!

      2014/03/07

  • Pocket
  • このエントリーをはてなブックマークに追加
  • Clip to Evernote
  • LINEで送る

html、CSSって何ですか?って位WEBの知識の無い、むねさだ(@mu_ne3)です。
スクリーンショット_2014_03_06_5_33-2

ブログを始めたきっかけが「情報を発信する」という事がしたかっただけなので、htmlとかCSSとかその辺りの事は勉強しようとするモチベーションがあまり無く、必要最低限の2歩くらい手前で止まっている状態です。

コレでも2年間以上ブログを書き続けられているのだから大丈夫だろうと思っていた所…。

何やらヤバそうなことが起こってしまいました。

これ「私もよく分かってないけどWordpress使ってるんですよ」って人は要注意ですよ!!(涙目)


スポンサード リンク

サーバー会社から届いた「不正なアクセスを検知いたしました」メール

気がついたのは、1通のメールがGmail宛に届いたからでした。

タイトル:【ロリポップ!】不正なアクセスを検知いたしました
IMG_0130

メールのタイトルが、【ロリポップ!】不正なアクセスを検知いたしましただったので、ビックリした訳ですよ…。

何が起こったんだ?と思って内容を見てみた所、

WordPress の wp-login.php に対し、複数回のログイン試行が確認されました。

アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため、

という内容が…。

どうやら、私のブログの管理画面にアクセスして、何度もログインしようとした人がいたようです…。

これは危ない!!!

幸いIDも「admin」から変更してあるし、パスワードは複雑な組み合わせにしてあるので大丈夫だとは思いますが、これは不安…。
っと、さらにメールの続きを読んでみるとレンタルサーバー会社の方で対策をしてくれていて、ログイン画面自体にアクセスできなくしてくれていました。

弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております。

お客様ご自身が WordPress にログインするため、
.htaccess を編集しアクセス制限を解除する必要がございます。

ん?
ログイン画面自体にアクセスできなくしたってことは、これじゃ私も入れないのか…!?
と思って実際にアクセスしてみるとこんな感じになっていました。
スクリーンショット_2014_03_06_5_38-2

とりあえずは上記対応をしてもらっているので、最悪の事態は回避されたはず。

が、何も対処しないまま元に戻してしまうとまた同じ事が起こる可能性は十分にある。

ってことで何かしら対策をしなければ…。

幸い、家のデスクトップパソコンは常に電源を入れっぱなしにしていてWordpressのダッシュボード画面を開いたままの状態だったため、こうやって対策をしたりブログを書けている訳です(助かった!)。

 

原因はサイドバーの「サイト管理」の可能性が大!?(では無さそうです)

しかし、なんで管理画面なんかに不正アクセスがあったんだろう?と考えているとそう言えば…。

私、サイドバーに初期配置のまま「メタ情報 サイト管理」って部分残したままだったんです。
スクリーンショット_2014_03_06_5_33

これでは私のブログを見に来た全ての人に、ワンクリックでログイン画面に行けちゃう入り口を設置しているわけですから、危ないですよね…。

いや、もちろんWordpressに詳しい人とかだと、ログイン画面とかこのリンクが無くても行けちゃうんでしょうけれど、少なくてもそこへ誘導するようなリンクがあるのはやっぱりよろしくない。
ということで速攻外しました。

 

【追記】原因は総当たり攻撃らしいです

【2014.03.07追記】
詳しい人達から、いくつかのご意見を頂きました。

基本的に今回の不正アクセスは、wp-login.phpをURLにつけて直接アクセスして来ているので、サイドバーのサイト管理は関係ないとの事です。
[箱] Crazy Bone ブルートフォースアタック(総当たり攻撃)が見えた!Sixcore でも油断するとやられます。 | [箱]ものくろぼっくす

wp-login.phpのセキュリティを高める事が重要だそうですが、とりあえずは以下の2つを行うことである程度自衛できそうです。

  • IDが、初期の「admin」のままの人は即変更を!コレが一番ヤバい!
  • パスワードがありふれたパスワードや英字のみなどでシンプルだったり短かったりする人は変更!できればランダムに大文字小文字、数字と記号を組み合わせて長くするのが理想

※IDの変更は知識無く行うと怖そうなので、しっかりと方法など確認して各自の責任で行ってくださいね。

とりあえず、個人的には悪意のある人の目に留まりやすくなるので、必要が無いならばメタ情報のサイト管理を外すにこした事は無いと思っています。

 

メタ情報のウィジェットからの外し方

ウィジェットエリアからの「メタ情報」の外し方は、Wordpressのダッシュボード内にある「外観」メニューの「ウィジェット」を選択して、メインウィジェットの中から「メタ情報」ってヤツをサイドバーのリストからドラッグアンドドロップで外すだけ。
スクリーンショット_2014_03_06_6_16

とりあえず、これでほんの少しかも知れませんが、アタックされる危険性を減らせると思います。

特に使ってないけど、最初から表示されていたのでそのまま残してるんだよねーって人は、即外した方が良いと思います。

それ以上に、まずはIDとパスワードを複雑な物に変更しましょう!

 

わんぱくブロガー的まとめ

んっと、とりあえずはウィジェットから「サイト管理」を外しましたが、よく考えるとログインできなくなっているこの状況って、私自身がピンチです。

今は家のPCでログイン状態が続いているので、ブログの更新ができそうですけどログアウトされた瞬間困った事になるな…。
ちょっとメールに書いてある通りに、対処方法を試してみます…。

分からなければ詳しい人に教えて連絡すると思いますのでその際は助けてくださいませ…。

おい!こんな対策じゃ、全く意味ないぞ!急いで〜〜って方法で対策しろ!ってアドバイスがあれば是非とも聞かせて頂きたいのでコメントか連絡ください><

 

【2014.03.07追記】

wp-login.phpへの総当たり攻撃が原因だそうです。なので、IDとパスワードを複雑な物へ変更するしか無さそうです。

ご指摘くださった方々、ありがとうございました。

 
いや〜、ホント怖かった。

みなさん!セキュリティ対策してますか!?
というかもう少しWordpressとか基礎知識も勉強しなきゃな、って思いました。

 - ブログカスタマイズ ,

        
  • Pocket
  • このエントリーをはてなブックマークに追加
  • Clip to Evernote
  • LINEで送る
コメントはこちら。

Comment

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  関連記事

プロブロガー本2が予約開始っ。モチロン購入するぞっ!

このブログを始めて1年と4ヶ月毎日更新しています。 今でこそ毎日ブログを書くこと …

【初心者でもできる!】ブログに「パンくずリスト」を追加するプラグイン「Prime Strategy Bread Crumb」を設定してみたぞ!

HTMLとかCSSは全く知識が無いのでブログをカスタマイズする時は恐る恐るな、む …

ブログのスマホ用デザインをカスタマイズしたぞ!

ブログのカスタマイズが楽しくなってきました、むねさだ(@mu_ne3)です。 H …

【ブロガー必見!】GoogleAnalyticsで自分のブログへの被リンクが分かる「トラックバック」機能が便利だぞ!

他の人のブログで、自分のブログが紹介されていると嬉しくなります、むねさだ(@mu …

わんぱくなRSS・Twitterアイコンを自作してみたぞ!

わんぱく・・・・、なんと美しい響きだろう・・・。 大人になるにつれ忘れていったあ …

bnd48-kokuchi-eyecatch
【告知】10/30はブロネクオンエアー#48 「STINGERユーザー交えてブログテーマのお話してみるネク!」だぞ! #ブロネク

むねさだブログを毎日更新し始めて、2年半以上になります。むねさだ(@mu_ne3 …

初心者から上級者まで!「できる100ワザWordPress 必ず集客できる実践・サイト運営術」には確かにブログ・サイト運営のノウハウがつまっていたぞ!

WordPressの難しい設定とか、とんと分からないままブログを運営しています。 …

描画をサクサクに!ブログのサーバーをロリポップからWPXサーバーに移転した手順をメモしておくぞ!

むねさだブログを開設して、もうすぐで3年が経過します、むねさだ(@mu_ne3) …

むねさだブログのデザインリニューアルを行ったぞ!

HTMLとかCSSとか知識はほとんどありません、むねさだ(@mu_ne3)です。 …

スクロールしても常についてくる「ソーシャルボックス」を設置したぞ!

HTMLとかCSSというブログをカスタマイズする知識がほとんど無いむねさだ(@m …