WPへの海外アタックが酷い・・・
ナカノヒト
WordPressはCMS世界シェアNo1!豊富な無料プラグインもあり、とっても便利ですよね。私もWordpressのブログをいくつも運営しています。(ほぼ無収益ですけどw)
世界シェアNo1だけあって、もの凄く海外からのアタックが多いです。レンタルサーバーでお世話になっているロリポップでは、ログイン画面のPHP(wp-login.php)のみ海外からのアクセスをブロックしてくれています。
これにより、海外からのロボットによるPW攻撃を防いでくれている訳なのですが、ちょっと不安になりログイン試行回数を制限してサイトのセキュリティを向上させるプラグイン「Limit Login Attempts Reloaded」を入れてみました。
「Limit Login Attempts Reloaded」には、パスワードロック機能の設定があり、一日何回か間違えるとロックし、通知を送ってくれます。
数日後、ロックログを見てみると何個かゴキブリほいほいのようにIPアドレスがひかっかっておりました。
「Limit Login Attempts Reloaded」のログのタブをみると、どのIPアドレスがロックされたのか観る事ができます。
私は最初この画面の「ゲートウェイ」の意味が解らなかったのですが、ゲートウェイには「wp_xmlrpc」と書かれています。
どうやら、ログイン画面からアタックを試行している訳ではなく、「wp_xmlrpc.php」からアタックをかけているようなのです。
「wp_xmlrpc.php」は何かと言うと、スマホなど、メールから記事を投稿できるシステムがWordpressにはあります。その機能のPHPとなります。
メール投稿を使っているユーザーならしかたないのですが、PCから投稿している者からすると不要な機能ではありますよね。かといってこのPHPを削除しても、元に戻るらしく、対処法は「wp_xmlrpc.php」へのアクセス自体を完全に防ぐ事しかないようです。
方法は、.htaccessに下記を加えるだけ
# xmlrpc.phpへのアクセス禁止
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
数日後に再度、アクセスログを確認すると「wp_xmlrpc.php」からのアクセスは見事にブロックされていましたが
「wp-login.php」からはやはり数件ありました、、、もはやこれは仕方ないのだろうか・・・・
ちなみに、海外IPブロックをしてあるのに何故入ってこれるのだろうか不思議だったのですが、IPを調べると「新宿中央公園」になっています。日本のIP経由でアタックするのでしょうか??
怖いですねぇ~皆さんもWPのセキュリティ対策はしておきましょう!
とりあえずPWは複雑なモノにしましょうねー!
SiteGuard WP Plugin が優秀すぎた
上記に.htaccessへの追記とか色々書きましたが、純国産プラグイン「SiteGuard WP Plugin」を入れたらほぼ解決しました。
例のごとくプラグイン名で検索してインスコ有効でOKです。
このプラグインを入れるとログイン画面にひらがなの画像認証画面が追加されますので、これでまずは外国型人タイプの侵入は未然に防げそうです。
そして「xmlrpc.php」からの海外BOTアタックも、SiteGuard設定の「XMLRPC防御」有効にして「XMLRPC無効化」にチェックして保存。
これだけで、数日間アクセスログを確認しても、あやしいログイン攻撃はありませんでした!
素晴らしいプラグインに感謝!!
