WordPressサイトを守る最低限の設定

  • 20 December 2021
Post image

 WPへの攻撃方法について書きましたが、WPサイトを構築する上での最低限のセキュリティ対策をおこなっていれば、前回記事のようなことにはならない。そこで最低限の対策を紹介。


ログイン情報は複雑に

パスワードは覚えるものではない

 とにかくログインパスワードを複雑にしておけば、クラックするのが各段に難しくなるわけだ。16文字以上の大文字小文字英数字記号ありのパスワードに変更しよう。「パスワード作成」ってググってパスワード作成サイトで作ればいいのよ。ていうかパスワードなんて記憶する必要ないぜ。ブラウザに保存しておけよ。もしくはiOSなどのOSにパスワードを覚えさせ指紋や顔で認証するとか。まぁ当たり前のことだけど、これが出来ていないサイトがどれほど存在することか。

ユーザー名も少しだけ変更

 まず、企業サイトの場合WPの管理者のメールアドレスは次のようなものはゼッタイにやめておこう

 もしメールアドレスをサイト用に作成できるのであれば、「[email protected]会社.co.jp」みたいな少し推測しにくいものにするのもありだ。あと、WP管理者のユーザー名前も「admin」「会社名」「代表者の名前」などは避けた方がいいでしょう。


管理画面URLは絶対にアクセスさせるな

ログインURLを変更

 ログインURLが**デフォルトの「/wp-login.php」「/wp-admin」**のままだから、簡単にログイン試行されてしまうわけだ。WPの場合はプラグインを使ってこの管理画面URLを簡単に変更できる。
https://ja.wordpress.org/plugins/wps-hide-login/

 例えば「/1015-login」とかでもいいでしょう。

ログインURLにBASIC認証

 BASIC認証も簡単だからかけておこう。.htpasswdファイルを作成して.htaccessに追加するだけ。このひと手間が重要。そして認証情報はブラウザに保存しておけばいい。 「htpasswd作成」でググれば、作成方法は簡単にでてくる。

# .htaccess
<Files wp-login.php>
    AuthUserFile "/your_server_path/.htpasswd"
    AuthName "Basic Auth"
    AuthType Basic
    Require valid-user
</Files>

Satisfy Any

SetEnvIf REQUEST_URI "^/1015-login(.*)" restricted_url
Order allow,deny
Allow from all
Deny from env=restricted_url

AuthUserFile "/your_server_path/.htpasswd"

AuthGroupFile /dev/null
AuthName "Restricted Files"
AuthType Basic
require valid-user

 ちなみにBASIC認証って、パスワードをbase64文字列に変更して、しかもそれを暗号化されないHeader部分に付与して通信している。そのため、簡単に複合できるので突破されるとか言ってる奴いるけど、何?カフェに何時間も張り込んで、カフェのWifi使ってWPにログインしようとしている人を見張って、さらにルータに進入してその人の通信を傍受してBASIC認証を突破するのか?出来なくはないだろうけど、それほどのコストがかかるという時点で十分対策になっている


xmlrpc有効って家に鍵かけないのと同じ

 xmlrpc.phpへのアクセスが有効になっている場合、それは非常に危険です。WPはアホなんだけど、これがデフォルトで有効になってるんだよね。以下のようにアクセスを禁止できる。

# .htaccess
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

 WPへの攻撃方法で書いたのはこのxmlrpc.phpを使った攻撃でした。また多くのWPサイトのアクセスログを確認すると、このxmlrpc.phpへ怪しいアクセスが多いことがわかる。つまりこのxmlrpc.phpへアタックしているならず者が世界中にいるってこと。


最低限の守りはやっとこうよ

 上記の設定はすべてプラグインでもできるので、興味がある人はググってみて。
 私の知り合いの会社のコーポレートサイトなんて、非常にお堅い会社ホームページだったのに、エロバナーまみれにされたりしてたからね。少しでもセキュリティは高めておいたほうが良いのは間違いない。「うちの会社は個人情報も収集していないし、誰もうちのサイトなんて狙わない」と思っているあなた!あなたのサイトがハックされ、そのあなたのサイトを踏み台にして他のサイトを攻撃するなど、犯罪行為に巻き込まれるかもしれませんよ。その時、あなたは犯罪を犯していないにも関わらず、警察がやってきて、連行され、身の潔白が証明されるまでかつ丼食う羽目に合うかもしれないわけだ。

You May Also Like

情弱が運営するWordPressサイトを攻撃する

情弱が運営するWordPressサイトを攻撃する

 なんとなく悪いことってのは、魅力的だったりする。 おそらく1970年代~1990年前半に生まれた人で、学生時代にPCを触っていた人ってアングラな世界に1度や2度触れたことがあるのではないでしょうか?特にエロ系ね。私も若かりし頃は、なんとかしてずりネタを確保しようと、意味も分かってなかった通信プロト …

NYM-Mixnetによる誰にも傍受されないプライバシー通信を試してみた

NYM-Mixnetによる誰にも傍受されないプライバシー通信を試してみた

 さて、NYMというプロジェクトをご存じだろうか?2022年4月現在、おそらくほぼすべてのインフラエンジニアやネットワークエンジニアがNYMを知らないだろう。一方で仮想通貨トレーダでこのページたどり着いたひともいるだろう。この記事ではNYMへの投資のお話は一切しないのでご注意いただきたい。エンジニア …