スマートフォン・タブレットからインターネットサーバーオペレーション 2012~2015

APPW.jp 2012~2015

WordPress ログインのセキュリティ対策

WordPress を利用しているサイトへ大規模な不正ログイン攻撃(“admin” アカウントに対して、ブルートフォースアタック)が話題となっています。 WordPress を標的とする攻撃は以前から度々あるようなのです […]

WordPress を利用しているサイトへ大規模な不正ログイン攻撃(“admin” アカウントに対して、ブルートフォースアタック)が話題となっています。
WordPress を標的とする攻撃は以前から度々あるようなのですが、このたびの攻撃の特徴は、この攻撃を仕掛けているボットネットに9万件以上の IP アドレスがあり、異なる IP で攻撃を続けるという点がいわれています。
わたしが運営してるサイトのひとつでも、2013年4月10日に不正ログイン攻撃のログを確認しています。ただし、単一の IP アドレスであることから、現在話題の攻撃とは異なるのかもしれません。

対策について、Google 検索しながら検討してみました。

まずは、admin アカウントの削除があります。そして、パスワードを複雑にして強度をアップすることがあげられます。さらに、WordPress 本体、テーマ、プラグインに最新のアップデートを適用することもあげられています。

その上で、プラグインを利用している方も多いようです。例えば、Limit Login Attempts プラグインは、設定した回数のログインに失敗した ときに、設定した時間で、その IP アドレスからログインを制限するものです。
同様の機能のプラグインも多いのですが、今回話題となっているブルートフォースアタックでは、異なる IP で攻撃を続けることから、これらの機能のプラグインでは防御しきれない上に、場合によっては、プラグインの IP 記憶領域管理へのオーバーフローアタックになるかもしれません。

WordPress のログインページの所在は、標準でインストールされているサイトであれば容易に知ることができます。この点について対策をとりたいと考えている方も多いようです。わたしもそのひとりです。

Stealth Login Page プラグインは、ログインページの URL に設定したキーワードを付加することによって、標準のログインページのURL ではアクセスできないようすることができます。リダイレクト回数が多くなることが懸念されますが、安易にログインページにアクセスされることはなくなりそうです。

.htaccess において、ログインページのファイルにだけ SSLRequireSSL を設定すると、https でアクセスされた時だけログインページが表示されます。これをベースにして .htaccess レベルで制限する方法も考えられそうです。

SHA-1証明書からSHA-2証明書への移行で

HTTP/2 が標準化へ承認、HTTP は16年ぶりとなるバージョンアップ

SVG を jQuery Mobile Listview で

SVG を jQuery Mobile Swipe で

HTML5 は W3C Recommendation へ

Firefox 28.0 より multi-line flexbox サポート

ConoHa VPS のシステムリカバリを Mondo Rescue で

ConoHa VPS に VirtualBox と modern.IE の無償ツールをインストール

ConoHa VPS を iPad と Android で PC レスで

ConoHa VPS で IPv6 に対応しました