ノウハウ
[初心者向け]

放置してたWordPressを更に放置しようとしたらセキュリティ事業部の同僚に真面目に止められた話

ノウハウ
たなはる

最近、エクスクラウド公式キャラ案を作成しては上司にNGを出されるの繰り返しで切ない思いで日々を過ごしています。

画面越しの皆さま、ごぶさたしております。エクスクラウド広報 たなはる です。

非公式キャラの案見てみたいという方は是非、エクスクラウドツイッターを覗いてみてください。

 

さて、

話は変わりまして、最近WordPress改ざんや脆弱性の話をニュースサイトやSNSでよく見かけますよね。

 

 

そういえば、わたしWordPressのアカウントもってたんだっけなあ、とふと思い出しました。確か、登録して少し使っただけでそのまま何もしてなかったんだっけ・・・。

 

 

ヒヤヒヤしながら、恐る恐るページを久々に開いてみたところ・・・

 

セーフ
※改ざんされてるような文面ですが、過去にわたしが記載したままの内容でした。

 

たなはるなーんだ、焦って損したー。
そうだよね、ちゃんとパスワードだって設定したし、セキュリティバッチシ安全だもん。

 

ちょっとまった!!

 

そこに現れたのは テコラスセキュリティ事業部  藤田くん

 

使ってないサイトだからって何も対策しないの?

たなはるえー、いいよ、別に何も起こってなかったし大丈夫でしょうー!
ちゃんとパスワードもあるし、ログイン画面も隠してるからね!大丈夫、大丈夫!

 

IDはこれで・・・パスワード・・・うん、 たなはるのサイト、ログインできたよ!

 

 

たなはる ひえええええええええええええええ!?なななななんだってえええ!!!

 

たなはるのWordPress、ほぼ初期設定でしょう。ログイン画面もパスワードもちゃんとしてるって言ってたけど、 簡単にログインできちゃったよ。

 

 

たなはるうそだ!さては藤田!セキュリティ事業部で培った技術を悪用したな!

 

いや、そんなことしてないよ。 たなはるの WordPressに全部情報が載ってたから 簡単にログイン出来たってだけだよ。
たなはる個人の放置してるサイトだからまだいいけど、これがうちの公式Webサイトだったとしたら・・・ぞっとするよね。

 

たなはるひ、ひえええええええ。冬場に怖い話はよしてくれよ。粋じゃないよ。
藤田よ・・・助けておくれよ・・・ラーメンおごるから・・・

 

いいよ!それじゃあ、WordPress初心者のたなはるに
 WordPressのセキュリティにおいて基本かつすごく大切な3点のポイント を紹介するね。

 

1 パスワードは推測されにくいものを設定すること!

たなはるのパスワードってさ*******でしょ?

 

たなはるドッキーーーーーーン!!なんでわかったの?超能力??

 

まあ、たなはるだし。大方、複雑なパスワードは面倒臭がるかなって思って。

 

たなはるみ、耳が痛い!!!

 

 単純なパスワードは、最近だとSNSなどに公開している情報(誕生日、ID,出身地など)から パスワードを推測されるリスクがある から避けたほうが良いね。
パスワードには 個人情報を含めず に、入力画面で 強力レベルと判断される ぐらいの複雑なものを設定すること。

▼WordPressでパスワードを登録する際に「強力」とでるよう調整

 

でも、これだけじゃ不安があって、実は、パスワードを推測される以外にも 総当り攻撃でパスワードを突破されるリスク があるんだ。

 

 

たなはるえええええええええええ!!そうなの!?!?

 

WordPressは広く普及しているCMSで、WordPressに特化した総当りツールもあるから、簡単なパスワード設定だけだと、このような攻撃で突破されてしまうリスクがあるんだよね。
だから総当り攻撃を防ぐ方法として、 ログインにキャプチャ認証も必要にする といいかも。
Captcha by BestWebSoft というプラグインを導入すると、ログイン画面に毎回ランダムに簡単な計算が表示されるようになって、これに答えないとログインできない設定になるよ。

▼Captchaをいれたログイン画面

 

総当り攻撃はソフトウェアが機械的にパスワードの組み合わせを試すから、このようなキャプチャ認証があると、簡単な攻撃を防止できるし、
強力なパスワードと一緒に設定するとよりセキュリティ対策としては良くなるね。

 

たなはるへえ、そんなやり方があるんだね。
わたしの黒歴史も二重のパンドラの箱に入れれば一生誰にも知られなくなるかな(遠い目)

 

そこは自分なりのセキュリティ対策をしてください・・・。

2 ユーザー名と編集者名は別にするべし!

たなはるさ、ログインする時のユーザー名とブログに投稿する時の名前、一緒でしょ。

 

たなはるそうだけど・・・。
ユーザー登録したときの名前が、そのまま自動的に投稿者名も一緒になるから、そこはしょうがなくない?

 

うん。でもそれって、 一般公開されてるページに、ログイン時に必要な情報が公開されてることになるから 攻撃者に情報を与えていることになるよね。
あるいみ不正アクセスしてくださいって言ってるようなものだよ・・・。

 

たなはるえええええ!!

さながら全裸で野生のライオンの群れに突っ込むくらいデンジャラス。まずは服を着たいのだけれど、どうすればいいの?

 

Edit Author Slug っていうプラグイン使って、ユーザー名と編集者名を分けよう。
分けることで投稿者名から推測されてログインされなくなるからね。

 

たなはるよし、編集者名は FUJITA で設定するね!

 

なりすまし、やめてね。

3 ログイン画面のURLは変更しよう!

ブログのログイン画面、アカウント開設してから何も手加えてないでしょ?

 

たなはるう・・・うん。でもログイン画面へのリンクは非表示になってるよ?

 

実は、WordPressはデフォルトだと、管理画面のログインURLが決まってて、 リンクが無くてもドメインの後ろにURLを付けるだけで誰でもアクセス出来ちゃう んだよ。

 

 

たなはる確かに、そもそもわたし藤田にリンク教えてなかったのに簡単に開けてた・・・。
どどどどうすればいいの?

 

All In One WP Security & Firewall っていうプラグインを使おう。
これを導入すると、ログイン画面のURLを変更できるんだ。しかも 簡単 にね。

 

やり方はこんな感じ。
All In One WP Security > Setting > Brute Force で
Check this if you want to enable the rename login page feature の項目にチェック入れて
Login Page URL: に 任意のアドレスを入れるだけ。

▼All In One WP Securityの設定画面

 

たなはるほんとだ! すっごく簡単!

 

あと、このプラグインには他にも便利な機能があって、ログイン試行回数を制限したり、短時間での連続パスワード間違えをブロックする設定ができるから、
連続で認証に失敗したIPをブロックもできるよ。

 

たなはるへえ!All In One WP Security 本当に多機能だね!
とりあえず、この3つで対策してみるよ!

でもさ、こんなにたくさん対策する必要あるの?

 

あるよ!!!世界中に公開されている以上、どんなサイトも攻撃を受けるリスクがあるから。 それに自分が被害を受けるだけじゃなくて、自分のサイトやサーバーが乗っ取られて攻撃元になってしまうリスクもある んだから!

 

たなはるうう・・・。わかったよ。服着たからって、野生のライオンから逃げられるわけじゃないもんね。
今後はあまり使ってないサイトでも公開している間はセキュリティ対策をちゃんとやるよ・・・。

でもまあ、これだけ対策したんだから私のページはもう絶対安全だよね!

 

ん? ログイン周りの対策をしただけでは絶対安全とは言い切れないよ!
例えば最近だと、2月上旬に発表されたWordPress REST API脆弱性では、説明したような対策をしていたサイトを含めて、 全世界で 150 万サイト以上のWordPress サイトが改ざん被害に遭ってしまった んだよ

 

たなはる何その脆弱性って… 弱酸性みたいだね。シャンプーかな。
そもそもログイン出来なきゃサイトを改ざんなんて無理でしょ?

 

そうとは限らないところが脆弱性を狙った攻撃の怖いところなんだけど・・・、
じゃあ検証環境で攻撃を再現してみせるから、これでたなはるにも脆弱性対策の必要性が分かると思うよ

 

たなはる攻撃だと・・・!?

 

次号
WordPress 4.7.0 、4.7.1 のREST API に起因する脆弱性の脅威と脆弱性を狙った攻撃にも対応したセキュリティを更に強める方法をご紹介!

 

果たして、たなはるのWordPressに平和は訪れるのか!画面越しの皆さま 乞う、ご期待!

次回:セキュリティ対策足りてる?まだまだ甘いよ、キミのWordPress

 

 

この記事を書いた人

たなはる

たなはる です。 エクスクラウド広報担当。趣味は落語鑑賞。 ハナシは落としても、サーバーは落としません。

この記事のタグ

オススメの記事

ページトップへ