1日100件近い不正アクセスが翌日が0件に!2段階認証をブログに導入しました。【WPセキュリティの話】

1日100件近い不正アクセスが翌日が0件に!2段階認証をブログに導入しました。

りれるです。

少し前から外注さんに丸投げしているブログが、凄い勢いで不正アクセスされてます。

で、1日の不正アクセス件数もどんどん増えていくので、これはさすがにヤバい・・・(汗)

そんなわけで不正アクセス対策を強化したわけですが、その際に活用したプラグインなどをご紹介します

1日あたり100件前後だったものが0件に減りましたので、ホッと一息コーヒーブレイク中であります。

目次

不正アクセスとリスク

不正アクセスとは、悪意を持った誰かが、私や外注さんのログインIDやパスワードを使って、不正にログインする行為

不正に入手したIDやパスワードでログインすることもあれば、総当たり攻撃(ブルートフォースアタック)のように、システムを使って無理やりログインしてこようとすることも。

IDやパスワードの漏洩は仕方ない(自分の注意不足)ものの、ブログなんかだと総当たり攻撃が多い印象です。

ちなみに今回私の身に起きていた不正アクセスも、アラームの件数から総当たりで攻撃されているっぽくて、パスワードが解読できるまでアクセスし続けてやるぜ!っていう、彼らの熱い意気込みを感じましたね。

ここからが重要なんですが、大してアクセスのないブログだから大丈夫!と油断していると痛い目に合うかも。

不正アクセスされた際に考えられるリスク

詐欺サイト
  • ログインできなくなる
  • ソースを書き換えられる
  • 個人情報を抜き取られる
  • ウィルスを送り込まれる
  • マルウェアを埋め込まれる
  • 踏み台にされて犯罪に巻き込まれる
    etc…

たまにニッチなキーワードで調べ物をしたとき、更新されてない古いブログを開いてみたら、「ピピピー!おめでとうございます!あなたは1000人目の訪問者です!」とか「マルウェアに感染してます!このソフトウェアをインストールしないとヤバいですよ!」的なページが表示された経験はありませんか?

言うまでもなく危険極まりないページなわけですが、乗っ取られると、こういうのを自分のブログに埋め込まれたりするわけですよ

場合によっては自分が罪に問われる可能性もあるだけに、ちゃんとしておかないといけないってことです。

当初のセキュリティ対策

不正アクセスに失敗したときに送られてくるメール

恥ずかしながら私自身もセキュリティについては舐めてまして、WordPressの対策としては「Limit Login Attempts Reloaded」しか入れてませんでした。

プラグイン増やすのも嫌だし、何より月間10,000PVくらいのブログなんて狙われないやろ!と高を括ってたんです。

ところが、あるとき外注さんの記事チェックがてら、唯一入れていた「Limit Login Attempts Reloaded」を見たら、結構不正アクセスされていることに気がついたんです

そこで設定を「途中で1回間違えたら480時間ロック」に変更し、ミスったときは私にメールが届くように設定したら、わんさかラブレターが届いたってわけ(汗)

Limit Login Attempts Reloadedとは

このプラグインは、何回ログインに失敗したらロックする、という設定ができるプラグインで、1日に何回くらい失敗したか?なども計測してくれるので、攻撃されているかどうかが一目でわかります。

え!?マジカル怖いんですけど(汗)

1回失敗したらそのIPを480時間ロックしてるのに、デイリーMAX200回近くアタックされたら、さすがに怖いじゃないですか(汗)

「このままじゃあオレのATフィールドが破られる((((;゚Д゚))))ガクガクブルブル」

そう思った私が思いついたのが、ワンタイムパスワードの2段階認証!

セキュリティ対策で反省しまくったビットコイン系でも採用されてるので、かなり効果はありそう!ということでそれを実現できるプラグインを導入したところ、翌日から不正アクセスが0件に。

さすがワンタイムパスワード、想像以上の効果でした。

導入したプラグインは「Google Authenticator」

本当ならこの記事で親切丁寧にプラグインの導入方法などを記すべきなんでしょうけど、この手の解説記事って作るの楽しくないし面倒臭いんですよね。

しかも先人が完璧な解説記事を書いてくれてる・・・ということで、私のほうでは参考にさせて頂いた方の記事を紹介しておきますので、導入したい方は下記リンク先の記事をご参照くださいませ。

なお、1点だけ注意点を書いておきますので、必ず確認の上、作業を勧めて下さい

インストールするとダッシュボードメニューの「ユーザー」の詳細設定ページに「Google Authenticator Settings」という項目が増えます。これをActiveにするとワンタイムパスワードによる認証が始まるんですが、ログアウトする前に、必ずアプリ(Google Authenticator)でQRコードを読み込んで認証システムを有効にしておかないと、次回以降ログイン出来なくなりますのでご注意を!

uzurea.net
WordPressに二段階認証を 『Google Authenticator』プラグイン設定方法 - uzurea.net Googleの二段階認証ソフトウェア『Google Authenticator(グーグル・オーセンティケーター)』。 Google関連のシステムだけでなくさまざまなWebサービスに導入され、ログイ...

あとがき

いや、マジで2段階認証って凄いんですねー、メインブログのほうも生活が掛かっているので導入しておきましたよ。

りれるブログは・・・お陰様で不正アクセスもないので、今のところは保留ですかね。

Google認証システム自体はビットコインなどでも使っていたので馴染みはあるんですが、いかんせん増えすぎるとしんどいですし、スマホを変えた時とかにログインできないトラブルもあったので、あまり増やしたくないってのが本音です。

皆が導入する必要はないと思いますが、私のように明らかに攻撃されている!って方は検討してみてください。

それでは!

よかったらシェアしてね!

コメント

コメントする

目次
閉じる