こちらのブログは初めて2ヶ月しか経っていませんが、困った事が発生しています。何が起こっているかと言いますと、不心得者の不正アクセスを受けているんです。
- 意味不明なコメント(スパム)が沢山投稿された。
- ブルートフォースアタックを受けていた。
ブログのシステムが、コンテンツマネジメントシステム(CMS)で一番人気の WordPress だから仕方が無いのでしょうか?
コメントスパムへの対策
意味不明なコメントは全部プラグインで防いでいますし、そもそもコメントは管理者の承認を得なければ公開されない設定になっていますから表示すらされないのですが…
コメントスパム行為のIPに対してはIP制限(範囲で規制)!
これ一発で、かなり効果がありました。
IPなんていくらでも変えられるとは思いますが、とりあえずは沈静化しました。
規制されたIPからアクセスがあると、「404 Notfound」になってしまい内容が表示されないんです。
私がIP規制まで踏み込めたのは、規制するIPが海外だったのが後押ししていたのは事実ですが、スパムを送り付けて来る様な輩は次に何をするか分からないので、これで良かったのだと思います。
それでも規制外のIPから投稿された場合、特定のURLを含む投稿は即時スパム扱いとしてスパムフォルダに仕分けされますから、管理者がである私が承認しなければブログ上に表示されることは一切ありません。
IP制限をしたのが4月27日ですから、早くも一週間、あれからコメントスパムは影を潜めました。
まぁ、この件に関しては継続して様子見ですが、今のところ成功だと判断しています。
ブルートフォースアタックについて
コメントスパムとは違い、こっちらはセキュリティ上の大きな問題です!
コメントスパムに関してはいくら沢山投稿されても削除(手間はかかります)するだけなんですが、ブルートフォースアタックは精神的に宜しくないです。アタック自体は毎日20件ぐらいの程度なんですが、万が一クラックされたら…と思うと精神的に宜しくありません。
本当、こういった輩には憤りを感じずにはいられません。
まぁ、泣き事を言っていても何の解決にもなりませんから、ここはサクッと対策しちゃいました。
「ブルートフォースアタック」って何? という方の為に解説すると、システムに対してパスワードの総当りで何度も何度もアタックして来る攻撃です。
つまり、攻撃者(加害者)は此方のパスワードを知りません。
コンピュータが任意に選んだ文字列で不特定多数の複数サイトに対して自動的にログインを繰り返し、そのうちの1つのサイトにでもログイン出来れば、そのパスワードを攻撃者(加害者)に通知する手法です。
ハッキングされてしまうと、最終的にはサイトを改竄されちゃう事になるんでしょうね。
サイトの改竄は困ります。
実際に被害が出る前に、対策を行います。
私が行った対策は、今のところ下の3つ。
- 一定回数ログインに失敗すると2重認証になる仕組みを導入
- パスワード長を長くし、さらに複雑で推測困難なパスワードに変更
- ブログの admin アカウントを削除
パスワードについては、元々が hello123 みたいな単純なパスワードに設定していませんでしたから、数百回程度のアタックで入り込むのは難しいと思います。
もし当サイトをご覧の方で、上記のような hello123 みたいな単純なパスワードをお使いでしたら、少しでも早い段階で変更しておくべきだと思います。そして可能ならば、辞書に載っていない予測不可能な文字列( 例えば、dbpx685psn27 など )で12文字以上に変更しましょう。
元々インストール初期のデフォルト「管理者ID」は権限を権限なしに設定していたのですが、実際にブルートフォースアタックされていたのが管理者IDだったので、今回、改めて管理者IDを削除しました。
管理者IDを削除するには次の手順で出来ます。
- WordPressの管理画面に管理者IDでログインします。
- ユーザーの新規追加画面に行きます。
- 新しいユーザーを権限グループで「管理者」を選択して作成します。
- 管理者IDをログアウトし、先ほど作成した新しいユーザーで管理画面にログインします。
- ユーザー→ユーザー一覧に行き、不要になった管理者IDを削除します。
普通に考えたら、これだけでもかなり進入は難しくなると思いますが、私の場合はそれ以上に効果的だったのが、SSLの導入でした。
【SSLって何!?】
SSL( Secure Sockets Layer = セキュア ソケット レイヤー )とは、ネット上に流れるデータを暗号化して送受信できるプロトコルの仕組みで、デジタル署名とデジタル証明書の技術を組み合わせて実現しています。デジタル証明書によって「なりすまし」や「改ざん」「盗聴」などを防いでくれますから、銀行やクレジット会社などの金融機関や大手ショッピングサイトでは必須の仕組みです。
実際、管理画面にまでSSLを導入した直後から、ピタリと不正ログイン試行は収まってしまいました。
これは抑止効果なのでしょうか。
今回の対策に関しての後記
ブルートフォースアタックが収まっただけでは無く、SSLを導入した事で、当サイトを訪れるて下さる読者様の安全性が上がりますし、google 等の検索順位にも優遇されるそうです。
SSLは一般的に言われているSEO的に有利ということらしいです。
SEO的に有利と言ってもSEOは直ぐに結果として結び付かないと思いますし、なんと言っても、始めて間もないブログですから、今しばらくは何も変わらないとは思います。
大事なことは、当サイトを訪れるて下さる読者様の安全が最優先という姿勢だと思います。
なので結果的にSSLの導入には自己満足しています。