情弱が運営するWordPressサイトを攻撃する
なんとなく悪いことってのは、魅力的だったりする。 おそらく1970年代~1990年前半に生まれた人で、学生時代にPCを触っていた人ってアングラな世界に1度や2度触れたことがあるのではないでしょうか?特にエロ系ね。私も若かりし頃は、なんとかしてずりネタを確保しようと、意味も分かってなかった通信プロト …
WPへの攻撃方法について書きましたが、WPサイトを構築する上での最低限のセキュリティ対策をおこなっていれば、前回記事のようなことにはならない。そこで最低限の対策を紹介。
とにかくログインパスワードを複雑にしておけば、クラックするのが各段に難しくなるわけだ。16文字以上の大文字小文字英数字記号ありのパスワードに変更しよう。「パスワード作成」ってググってパスワード作成サイトで作ればいいのよ。ていうかパスワードなんて記憶する必要ないぜ。ブラウザに保存しておけよ。もしくはiOSなどのOSにパスワードを覚えさせ指紋や顔で認証するとか。まぁ当たり前のことだけど、これが出来ていないサイトがどれほど存在することか。
まず、企業サイトの場合WPの管理者のメールアドレスは次のようなものはゼッタイにやめておこう。
もしメールアドレスをサイト用に作成できるのであれば、「web0034@会社.co.jp」みたいな少し推測しにくいものにするのもありだ。あと、WP管理者のユーザー名前も「admin」「会社名」「代表者の名前」などは避けた方がいいでしょう。
ログインURLが**デフォルトの「/wp-login.php」「/wp-admin」**のままだから、簡単にログイン試行されてしまうわけだ。WPの場合はプラグインを使ってこの管理画面URLを簡単に変更できる。
https://ja.wordpress.org/plugins/wps-hide-login/
例えば「/1015-login」とかでもいいでしょう。
BASIC認証も簡単だからかけておこう。.htpasswdファイルを作成して.htaccessに追加するだけ。このひと手間が重要。そして認証情報はブラウザに保存しておけばいい。 「htpasswd作成」でググれば、作成方法は簡単にでてくる。
# .htaccess
<Files wp-login.php>
AuthUserFile "/your_server_path/.htpasswd"
AuthName "Basic Auth"
AuthType Basic
Require valid-user
</Files>
Satisfy Any
SetEnvIf REQUEST_URI "^/1015-login(.*)" restricted_url
Order allow,deny
Allow from all
Deny from env=restricted_url
AuthUserFile "/your_server_path/.htpasswd"
AuthGroupFile /dev/null
AuthName "Restricted Files"
AuthType Basic
require valid-user
ちなみにBASIC認証って、パスワードをbase64文字列に変更して、しかもそれを暗号化されないHeader部分に付与して通信している。そのため、簡単に複合できるので突破されるとか言ってる奴いるけど、何?カフェに何時間も張り込んで、カフェのWifi使ってWPにログインしようとしている人を見張って、さらにルータに進入してその人の通信を傍受してBASIC認証を突破するのか?出来なくはないだろうけど、それほどのコストがかかるという時点で十分対策になっている。
xmlrpc.phpへのアクセスが有効になっている場合、それは非常に危険です。WPはアホなんだけど、これがデフォルトで有効になってるんだよね。以下のようにアクセスを禁止できる。
# .htaccess
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
WPへの攻撃方法で書いたのはこのxmlrpc.phpを使った攻撃でした。また多くのWPサイトのアクセスログを確認すると、このxmlrpc.phpへ怪しいアクセスが多いことがわかる。つまりこのxmlrpc.phpへアタックしているならず者が世界中にいるってこと。
上記の設定はすべてプラグインでもできるので、興味がある人はググってみて。
私の知り合いの会社のコーポレートサイトなんて、非常にお堅い会社ホームページだったのに、エロバナーまみれにされたりしてたからね。少しでもセキュリティは高めておいたほうが良いのは間違いない。「うちの会社は個人情報も収集していないし、誰もうちのサイトなんて狙わない」と思っているあなた!あなたのサイトがハックされ、そのあなたのサイトを踏み台にして他のサイトを攻撃するなど、犯罪行為に巻き込まれるかもしれませんよ。その時、あなたは犯罪を犯していないにも関わらず、警察がやってきて、連行され、身の潔白が証明されるまでかつ丼食う羽目に合うかもしれないわけだ。
なんとなく悪いことってのは、魅力的だったりする。 おそらく1970年代~1990年前半に生まれた人で、学生時代にPCを触っていた人ってアングラな世界に1度や2度触れたことがあるのではないでしょうか?特にエロ系ね。私も若かりし頃は、なんとかしてずりネタを確保しようと、意味も分かってなかった通信プロト …
コードを書く人間なら、キーボードにこだわりたくなるものだ。ノートPCをメインにしている場合はキーボードを変えることは難しいが、それでもJIS配列かUS配列など一度は考えたことがあるはずだ。 このサイトで何度も書いている通り、プログラミングのほとんどは試行錯誤の繰り返しで作り上げてい …