html、CSSって何ですか?って位WEBの知識の無い、むねさだ(@mu_ne3)です。
ブログを始めたきっかけが「情報を発信する」という事がしたかっただけなので、htmlとかCSSとかその辺りの事は勉強しようとするモチベーションがあまり無く、必要最低限の2歩くらい手前で止まっている状態です。
コレでも2年間以上ブログを書き続けられているのだから大丈夫だろうと思っていた所…。
何やらヤバそうなことが起こってしまいました。
これ「私もよく分かってないけどWordpress使ってるんですよ」って人は要注意ですよ!!(涙目)
サーバー会社から届いた「不正なアクセスを検知いたしました」メール
気がついたのは、1通のメールがGmail宛に届いたからでした。
タイトル:【ロリポップ!】不正なアクセスを検知いたしました
メールのタイトルが、【ロリポップ!】不正なアクセスを検知いたしましただったので、ビックリした訳ですよ…。
何が起こったんだ?と思って内容を見てみた所、
WordPress の wp-login.php に対し、複数回のログイン試行が確認されました。
アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため、
という内容が…。
どうやら、私のブログの管理画面にアクセスして、何度もログインしようとした人がいたようです…。
これは危ない!!!
幸いIDも「admin」から変更してあるし、パスワードは複雑な組み合わせにしてあるので大丈夫だとは思いますが、これは不安…。
っと、さらにメールの続きを読んでみるとレンタルサーバー会社の方で対策をしてくれていて、ログイン画面自体にアクセスできなくしてくれていました。
弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております。お客様ご自身が WordPress にログインするため、
.htaccess を編集しアクセス制限を解除する必要がございます。
ん?
ログイン画面自体にアクセスできなくしたってことは、これじゃ私も入れないのか…!?
と思って実際にアクセスしてみるとこんな感じになっていました。
とりあえずは上記対応をしてもらっているので、最悪の事態は回避されたはず。
が、何も対処しないまま元に戻してしまうとまた同じ事が起こる可能性は十分にある。
ってことで何かしら対策をしなければ…。
幸い、家のデスクトップパソコンは常に電源を入れっぱなしにしていてWordpressのダッシュボード画面を開いたままの状態だったため、こうやって対策をしたりブログを書けている訳です(助かった!)。
原因はサイドバーの「サイト管理」の可能性が大!?(では無さそうです)
しかし、なんで管理画面なんかに不正アクセスがあったんだろう?と考えているとそう言えば…。
私、サイドバーに初期配置のまま「メタ情報 サイト管理」って部分残したままだったんです。
これでは私のブログを見に来た全ての人に、ワンクリックでログイン画面に行けちゃう入り口を設置しているわけですから、危ないですよね…。
いや、もちろんWordpressに詳しい人とかだと、ログイン画面とかこのリンクが無くても行けちゃうんでしょうけれど、少なくてもそこへ誘導するようなリンクがあるのはやっぱりよろしくない。
ということで速攻外しました。
【追記】原因は総当たり攻撃らしいです
【2014.03.07追記】
詳しい人達から、いくつかのご意見を頂きました。
基本的に今回の不正アクセスは、wp-login.phpをURLにつけて直接アクセスして来ているので、サイドバーのサイト管理は関係ないとの事です。
[箱] Crazy Bone ブルートフォースアタック(総当たり攻撃)が見えた!Sixcore でも油断するとやられます。 | [箱]ものくろぼっくす
wp-login.phpのセキュリティを高める事が重要だそうですが、とりあえずは以下の2つを行うことである程度自衛できそうです。
- IDが、初期の「admin」のままの人は即変更を!コレが一番ヤバい!
- パスワードがありふれたパスワードや英字のみなどでシンプルだったり短かったりする人は変更!できればランダムに大文字小文字、数字と記号を組み合わせて長くするのが理想
※IDの変更は知識無く行うと怖そうなので、しっかりと方法など確認して各自の責任で行ってくださいね。
とりあえず、個人的には悪意のある人の目に留まりやすくなるので、必要が無いならばメタ情報のサイト管理を外すにこした事は無いと思っています。
メタ情報のウィジェットからの外し方
ウィジェットエリアからの「メタ情報」の外し方は、Wordpressのダッシュボード内にある「外観」メニューの「ウィジェット」を選択して、メインウィジェットの中から「メタ情報」ってヤツをサイドバーのリストからドラッグアンドドロップで外すだけ。
とりあえず、これでほんの少しかも知れませんが、アタックされる危険性を減らせると思います。
特に使ってないけど、最初から表示されていたのでそのまま残してるんだよねーって人は、即外した方が良いと思います。
それ以上に、まずはIDとパスワードを複雑な物に変更しましょう!
わんぱくブロガー的まとめ
んっと、とりあえずはウィジェットから「サイト管理」を外しましたが、よく考えるとログインできなくなっているこの状況って、私自身がピンチです。
今は家のPCでログイン状態が続いているので、ブログの更新ができそうですけどログアウトされた瞬間困った事になるな…。
ちょっとメールに書いてある通りに、対処方法を試してみます…。
分からなければ詳しい人に教えて連絡すると思いますのでその際は助けてくださいませ…。
おい!こんな対策じゃ、全く意味ないぞ!急いで〜〜って方法で対策しろ!ってアドバイスがあれば是非とも聞かせて頂きたいのでコメントか連絡ください><
【2014.03.07追記】
wp-login.phpへの総当たり攻撃が原因だそうです。なので、IDとパスワードを複雑な物へ変更するしか無さそうです。
ご指摘くださった方々、ありがとうございました。
いや〜、ホント怖かった。
みなさん!セキュリティ対策してますか!?
というかもう少しWordpressとか基礎知識も勉強しなきゃな、って思いました。
