wordpressを使う場合に問題になるのがセキュリテイです、私も過去に借りていたNTTPCさんのサーバーでブルートフォースアタックでPWを盗まれ画面が真っ白になる被害を受けました。調べるとブルートフォースアタックとは違い、アカウントリスト攻撃だと分かりました。

■アカウントリスト攻撃とは

アカウントリスト攻撃とは、オンラインサービスへの不正ログインを狙った不正アクセス攻撃の一種です。不正ログインのためにIDとパスワードがセットとなったアカウント情報リストを利用することを示し、従来からある不正ログイン攻撃手法であるブルートフォース攻撃や辞書攻撃と区別するための呼称です。一般に「パスワードリスト攻撃」、「リスト型アカウントハッキング」と呼ばれる場合もあります。

出典元:トレンドマイクロ https://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/access/

アクセスログから中国からの攻撃で、3時間にわたってランダムのPWを入れられた結果破られた事がわかりました。

■ブルートフォースアタックとは?

Brute Forceとは「力ずくで、強引に」という意味で、文字どおり力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。
セキュリティ用語事典[ブルートフォースアタック]

対策を考えてみます

  1. IDの設定です。デフォルトではadminが設定されるケースが多いと思いますが、任意のものに変更する
  2. PWの設定。最近のwordpressではインジケーターで普通とか、セキュリテイが高いなどの判断が出来るので、なるべく分かりにくい物を指定
  3. セキュリテイ関連としてはプラグインを最新版にすることが求められています
  4. wp-admin画面を保護する、basic認証を掛けたりセキュリテイを高めるためのプラグインを導入する。
  5. 使わないプラグインは削除する、またアップロードしたファイルのパーミッションを見直す
  6. FTP等でのファイルアップロード時を狙う対策として、FTPSを利用する

IDの設定

adminを使わないようにしましょう。私が突破されたサイトもデフォルトがadminで作られていたため、PWのみが総アタックで破られました。出来れば名前+数字や記号などが望ましいと思います。

PWの設定

pwも誕生日などは避けましょう。英文+数字+記号などをランダムで組み合わすのが望ましいです。PCやスマホにサイトごとのPWをランダムで発行して記憶してくれるソフト(有料版が多いが)などもいいかもしれません。

ドロップナビというサイト「有料 & 無料のパスワード管理ソフト 7 選と実力比較」で詳しく解説されているので参考にしてください

プラグインを最新に保つ

現在の最新版のwordpressはシステム(2017.4現在 Ver.4.7.4)はバージョンアップやプラグインのバージョンアップもしやすい環境になってきました。プラグインは更新をしてセキュリテイホールを作らない事が肝心です。

ログイン画面を保護する

やり方は色々考えられますが、古典的な方法ではbasic認証を入れる。URL以下に/wp-adminでログイン画面へ進めますがここへ進めないように保護する。やり方を解説したサイトは沢山あるので、ここでは軽く説明しておきます。参考に出来そうなサイトで「ログイン画面が危ない wp-login.phpをbasic認証でアクセスする」なども参考にしてみてください。

まずbasic認証が使えるレンタルサーバーである必要があります。使うのは簡単なメモ帳で.htaccessファイルを制作します、ID/PWを任意で設定してサーバーにアップすると以下のような画面が現れ、ID/PWを入れないとwordpressのログイン画面へ進めないようにする仕組みです。

これを使うとログインの際、basicとwordpressの2回のID/PW入力が発生するので面倒だという意見も多いですが。破られて泣くよりは100倍良いかもしれません。

あとクライアントのサイトではwordpressのログイン画面に「画像認証」や「管理ページアクセス制限」などを設定出来るプラグイン、「SiteGuard Wp Plugin」を入れています。このプラグインは各種の機能が使えて便利なプラグインです。Jp-secureさんのプラグインです。

ログイン画面はこんな感じです

SiteGuardの機能としては以下のような機能があるので、気になる方は試してみてください。プラグインはこちらから

この無料プラグインは管理画面へログインされると、設定してあれば管理者へメールでログインを知らせてくれるので改竄などを早期に知ることが出来るので有効だと思います。

使わないプラグインは削除する

よく言われる事ですが不要なプラグインは削除しましょう。使わないプラグインは更新されないケースもあり危険度を上げてしまいます。wordpressが自動アップデートするようになってからはプラグインの更新を管理画面へログインした際に必ず行っています。

FTPSを利用してファイルのアップロードを行う

各種画像などを一括してアップロードする場合など、FTPを利用するケースも多いとは思います。出来る限りFTP/SFTP/SCPクライアントソフトを使いましょう。

FTPはログインID/PWが暗号化されていません、FTPSを出来る限り利用したいものです。WinSCPやFileZilla、FFFTPなどが有名ですね。

デフォルトでwordpressをインストールするとWp-config-sample.phpなどがサーバー上に残りますが、出来るだけ削除しておいた方が無難です。wordpressは便利なCMSですが広くつかわれる中で攻撃のリスクもあるので、如何に自分達で防御してゆくかを考える機会になればと思います。