コンテンツへスキップ
インフォサーカス・インコーポレイテッド – Info Circus, Inc.
メニュー
  • ホーム
  • プロダクト&サービス
    • Webサイト対策
    • システム運用代行
    • セキュリティ診断
    • メール誤送信対策
    • Linuxシステムの悩み解決
    • Network Aggregation Gateway Ver.1.0
  • 技術情報
    • 技術事例の紹介
    • 技術情報(knowledge)
    • 不正アクセス/ネットワーク脅威集計
  • 企業情報
  • お問い合わせ

WoedPressサイトへの不正アクセスの増加と対策

WordPressを運用しているサイトは、以前から不正なログイン対策などが必要になっています。2020年春には、このWordPressに対する不正なログイン試行が増加しています。

狙われるWordPress不正アクセスのURI

WordPressサイトで不正アクセスや不正なログイン試行がされる場所は次のようなURIです。

  • wp-login.php
  • xmlrpc.php

wp-login.phpは、/wp/ や /shop/ などサブディレクトリを追加して、存在するかの確認などを含めてアクセスされる場合があります。

xmlrpc.phpは、WordPressのXMLRPCを使用したリモート投稿やプラグインが記事の管理をするために使うことがある機能です。

しかし、xmlrpc.phpは、WordPressのpinbackを悪用してDoS攻撃に使用されることがあります。

この不正アクセスが多くなると、サイトのページが表示できなくなったり、不正アクセスにサーバーの資源がとられてしまい ページビューが減ってしまうこともあります。

wp-login.phpとxmlrpc.phpの対策

特に狙われるのは wp-login.php と xmlrpc.php です。この二つをメインに対策します。

まずは、wp-login.phpの対策。.htaccessなどでwp-login.phpへのアクセスを拒否します。


    Order deny,allow
    Deny from all
    Allow from 自社の固定IPアドレス

同じように xmlrpc.php も設定します。


    Order deny,allow
    Deny from all
    Allow from 自社の固定IPアドレス

効果が薄いBASIC認証での対策

不正なログインを回避するため、wp-login.phpに対してBASIC認証をつけるケースがあるようです。しかし、wp-login.php にBASIC認証をつけてしまうとサーバーへのアクセスを許してしまい、またBASIC認証に応えるためにサーバーの資源を無駄に使われてしまいます。

固定IPアドレスなどが設定できない場合もありBASIC認証に頼らなくてはいけない場合もありますが、BASIC認証でのアクセス制御は不正アクセスの対策としては十分ではないことに気をつける必要があります。

Apache httpdよりも前にアクセスを拒否する

Apache httpdのアクセス制御(.htaccess)でアクセスを拒否できますが、サーバーのログには記録されます。
また、Apache httpdに接続を許可してしまうのは間違いありませんので、サーバーの資源も無駄になります。

そもそもApache httpdに接続させないためには iptables などのファイヤーウォール機能で接続を拒否します。

不正アクセスで拒否(アクセスログで Status 403)になったIPアドレスを次のように拒否します。

# vi /etc/sysconfig/iptables
-A INPUT -s xxx.xxx.xxx.xxx/24 -j DROP

# service iptables restart

これで、不正アクセスしてきているIPアドレスの接続を拒否できます。
ただし、不正アクセスするコンピュータを全て登録していたのでは、管理だけで時間がとられてしまい人的リソースの無駄が多くなります。

さらなる不正アクセスの防止(WAFの導入)

WordPressコンテンツを提供しているサーバーでの対策には、限界があります。
コンテンツを提供するWordPressサーバーは、コンテンツに専門化して、不正なアクセスは専用の仕組み「Web Application Firewall(WAF)」で対策する方法があります。

弊社が管理しているWebサイトでは、ほぼ全てのサイトでWAFを導入し、wp-login.php や xmlrpc.php それ以外の不正アクセスに使われる可能性のあるURIを、WAFでブロックしています。

WAF不正アクセスブロックのサンプル
WAF不正アクセスブロックのサンプル

導入前までは、不正アクセスによるページ表示の不具合や、ページ表示速度の低下などの問題がありましたが、WAF導入後にはこういった問題から解放されました。

インフォサーカス・インコーポレイテッド - Info Circus, Inc.
2019.05.31
Webサイト対策
https://www.infocircus.jp/services/web-site-opes
Webサイト 3つの基本対策お客様にサイトを見つけていただくために、WebサイトのコンテンツのSEO対策や広告などの施策も必要ですが、Webサイトの基本対策ができていないと検索エンジンでの評価に影響がでてしまいます。 POINT 1 WebサイトのHTTPS対応 HTTPS対応していないと検索サイトのインデックスに影響がでてきます。 Webブラウザで、次のような表示を見かけることがあります。 これもHTTPS対応していないため、通信が第三者にも見えてしまう事を知らせています。企業のWebサイトでこのような表示が出ていたら、お客様に不安...
https://www.youtube.com/watch?v=qt15lKCawWA

新着情報

  • 年末年始休業のお知らせ 2022年
  • CentOS 6アップグレードか再構築か
  • SFTPサーバーのログ取得設定
  • 特定ユーザーをsftp接続に限定する
  • pipのReadTimeoutError対策 (certbot-auto)


このシールについて

サーバー運用代行サービス
Tweets by infocircus
Info Circus, Inc.
本店
アメリカ合衆国 ハワイ州 ホノルル市 サウス・ベレタニア・ストリート1660,11-D
日本国内 支店
〒105-0022 東京都港区海岸1-2-3 汐留芝離宮ビルディング 21階
代表電話番号: 03-5403-6692 (平日 10:00〜17:00)
  • ホーム
  • プロダクト&サービス
    • Webサイト対策
    • システム運用代行
    • セキュリティ診断
    • メール誤送信対策
    • Linuxシステムの悩み解決
    • Network Aggregation Gateway Ver.1.0
  • 技術情報
    • 技術事例の紹介
    • 技術情報(knowledge)
    • 不正アクセス/ネットワーク脅威集計
  • 企業情報
  • お問い合わせ
Copyright © 2023 インフォサーカス・インコーポレイテッド - Info Circus, Inc. – OnePress theme by FameThemes
;