ここ最近のWordPressへの不正アクセス

最終更新日時 : 2018年10月12日

当店のような小さな自転車店のWEBサイトでも、月間数百件の不正アクセスが常にあります。

/?author=1や/xmlrpc.php、/wp-json/wp/v2/users/、/xmlrpc.php?rsd=等への不正アクセスも相変わらずありますが、ここ最近ではテーマやプラグインの脆弱性やセキュリティーホールをダイレクトにピンポイントで突いてくる攻撃が目立ってきています。使用していないテーマやプラグインに対してもbotでWordPressサイトを巡回しているので、攻撃のアクセスは受けてしまいます。

WAF(ウェブアプリケーションファイヤーウォール)で防げるようなXSSやSQLインジェクション、ディレクトリートラバーサル等の攻撃は減りつつある傾向。

WordPressやプラグイン、テーマを常に最新の状態に保つ。よく言われている事ですが、それで絶対安全安心とは言えません。最低限の初歩の心得程度のセキュリティ対策にしかなりません。

WordPressやプラグイン、テーマを常に最新の状態に保っても、脆弱性が皆無になる訳ではありません。不正ログイン対策だけがセキュリティ対策ではありません。

1.不正ログイン対策は万全に

2./?author=1、/xmlrpc.php、/wp-json/wp/v2/users/、/xmlrpc.php?rsd=等の公開すべきでない情報へは、第3者がアクセスできないようにする。404Not Foundに飛ばすなど。「ページが見つかりません」は訪問者への為だけでなく、不正アクセス対策としても重要です。

3.WAFの導入

4.総合的な対策が可能な高性能セキュリティプラグインで設定を詰める。画像のアクセスはセキュリティプラグインがブロックしています。流石WordFence!

5.閲覧者に2次災害ともいえる被害が及ばないように、マルウェアチェックも欠かせません。WEBサイト上のマルウェアの検知と駆除が出来るプラグインが必要。

6.ファイルのパーミッション設定確認。2013年某大手レンタルサーバーが運営会社側の不備に依る不適切なディレクトリパーミッション初期設定により、8,000件以上のWordPressサイトが改ざんの被害にあいました。運営会社の初動対応も調査もせずに責任逃れの弁明に終始し、決して褒められたものではありませんでした。

万一、脆弱性があっても防御できるような対策が必要だと思う今日この頃。総合的に、複合的な多角的視点でとらえないとならないので、これをやっておけばOK、といった単純な方法は無いのではないかと思います。

多層防御という概念も広まってきていますね。

特に3番目の不正アクセスは、ログインURLへの対策やWAFでは防御できなかった強力なものでした。アクセスURLを公開する訳にはいかないので、伏字にしています。

国旗は国名はあくまでもサーバー所在地です。その国の人という意味合いではありません。

竹の塚店 井田

 

 

PAGE TOP