りんろぐ。

女子でも分かるぷちまにあっく話。

Blog運用

怖かった!!止まらないブルートフォースアタック対策を強化してみた!!

2013/09/25

Jespah sunbathing....
photo credit: jespahjoy via photopin cc

先日、私のiOS7にあげたばかりのわくわくiPhoneにメールが届きました。「不正ログイン試されてる」

あ、またメールが届きました。「不正ログイン試されてる」

あ、メールが…あ、メールが…メール…メ…止まらない。・゚・(ノ∀`)・゚・。「不正ログイン試されてる」

メールが止まらない恐怖&誰かがログインしようとし続けている恐怖。恐怖だらけ!!!怖い物が苦手な凛(@rin_wan)が恐怖体験をお届けします!



不正ログイン対策

先日ロリポップのWordpressを中心に大規模な被害が出たので、個人的にもセキュリティが甘かったと色々対策を練ったんですよ。

ロリポップでブログを使っている私が行った乗っ取り対策5点。

本当にあった怖い話。adminを狙え!!〜ロリポップでのWordpress編〜

これで色々やったので大丈夫かなーと思ったらこんな鳥肌物の記事が。
恐怖!!WordPressが不正アクセスにさらされた2日間。事前・追加対策、事の顛末。 | Feelingplace

トイウコトデ。

こちらの記事にある「Login Alert Notification」というプラグインを導入する事にしました。
WordPressプラグイン『Login Alert Notification』をログインの成功か失敗かも通知するようにアップデート | 代助のブログ

迫り来る恐怖!!

このプラグイン、誰かがログインページを開いてログインしようとすると「誰かがログインしようとしてる!!」とメールでお知らせしてくれます。

またIDを入力して失敗した時は使われたIDも教えてくれます。これがとっても便利!!まだadminでアタックして来るんだなーとか、そんなID使ってないし!!とかw

ここ数日ちょっと件数が増えてきたものの、IDも私のものとは関係ない文字列ばっかりだったので気にしてませんでした。

が…。週末を楽しんでいた連休中日の夜。iPhoneに恐ろしい数の「不正ログインが試みられてる」メールが届いたではありませんか。・゚・(ノ∀`)・゚・。

通知センターが「今」で埋め尽くされるこの恐怖ったら!!!!

学生時代にメール友達募集コーナーに携帯メアドを書き込んで携帯が鳴り止まなくなった友達の事を思い出したほどの恐怖!!!って言っても分からないですよねw

鳥肌が立って心臓バクバクして半泣き状態で手が震える、そんな具合ですっ(`・ω・´)

9/22 23:30ちょっと前からスタートした「りんろぐ。にログインしてやろうの試み」ですが、結局夜中の1時前ぐらいまで続きました。

ほぼ使っていたIDは「admin」とりんろぐ。のドメインの2つだけ。

アタックされた回数は通知メールが来た数だとすると…400通以上のメールが届いていたので1時間半のあいだに400回以上。うぅぅ怖かった(´;ω;`)ウッ…

更なる対策!

幸い突破される事はなかったものの…しんどかった。・゚・(ノ∀`)・゚・。

その悲しさゆえに皆様から色々教えていただいた対策をやってみました。さすがにりんろぐ。はこんな対策してますよ!!って書いたら意味ないのでww参考情報を伝聞風にまとめておきます。

まだ対応していない方は参考にしてくださーい!!

ページ閲覧を許可制にする

Wordressには色々なページがあるので、怪しい人は通さないようにすることから始めましょー。

■ログインページの場合
wo-login.phpと同じ階層に.htaccessというファイルを作成する方法ですよ。
WordPressをブルートフォースアタックから守るために、最低限やっておきたい.htaccessの設定 | やまでら くみこ のレシピ

■ダッシュボードの場合
WordPress の管理画面 wp-admin/ へのアクセスを制限する方法 | 世の中TickTack!

IPアドレスやホスト名、それを許可するのか拒否するのかはアタックの種類によって対応して下さいねー!!

設定ページを守る

wp-config.phpというページに大事な情報が色々と入っているので、そこも保護しちゃいますよー!

WordPressの管理画面への不正アクセス対策 – セキュリティに終わりはない

これでがっちり保護しちゃいましょ。

BASIC認証の導入

最近良く聞く単語ですね。色々調べたらWordpressの扉の前にさらに扉がついてるような状態にする事なんですって!

扉の前に扉があると面倒( ꒪⌓꒪)とアタックする側も思うようで激減するんだそうです。実はメンドク・サガリ子と同類なんじゃ…だったら人のブログなんか荒らすなーー。・゚・(ノ∀`)・゚・。

こちらが分かりやすくてオススメですー♪
WordPressのログイン画面にBasic認証をかけて二重ロックする | memocarilog

凛的まとめ

・怖っ!!!
・対策はいくらやっても足らない!!!
・許可の方法を色々試して!!!

パニックになっていた私に色々な手段を教えて下さった優しい皆様に本当に感謝です!!

改めてありがとうございました(´;ω;`)ウッ…

WordPress楽しいけど難しいなぁ。

次の記事もお楽しみに〜(*`・ω・)ゞ

スポンサードリンク

スポンサードリンク

CATEGORIES & TAGS

Blog運用,

Author:

iPhoneアプリ/語学学習/間取り図/ガジェットが大好きです!手帳と宇宙画像が最近の癒しです。WorkFlowyが好きでスマホから操作ができるアプリHandyFlowyとMemoFlowy絶賛オススメ中♡

スポンサードリンク