ただ眠いんだ 
ここ数日、このWordPressブログに中国から大量のアクセスがあった。通常時の約25倍。
これはバズったかな?そうしたら高知に引っ越して、「まだ東京で消耗してるの?」的な煽りをかましつつ、自分はNFTやら仮想通貨を煽って収益を得る…というビジネスモデルが確立できるかもしれない!人生上がりだ!!!
…と思ったんだけど、どうもアクセス履歴がおかしいのである。
調べてみたところ、これはブルートフォース攻撃(総当たり攻撃)による不正ログイン試行だった。不正アクセスされてからでは遅いのでWordPressのセキュリティの見直しを行うことにした。
WordPressはセキュリティをしっかりやっておかないと、乗っ取られて他へのサイバー攻撃の足がかりにされたりするので備忘録としてこの記事を残そうと思う。
中国からの不正アクセスが9割以上を占める
アクセス数が上がった日付のアナリティクスを見ると、中国からのアクセスが9割以上であった。
中国語の記事を書いているわけでもなく、政治的に際どいことを書いたわけでもない。
さらにそれだけアクセスが増えたのに、それぞれの記事のビュー数はほとんど増えていない。それどころかトップページのビュー数も増えていない。
ここから考えられるのはbotによるアクセス、もしくはブルートフォース攻撃である。
攻撃的なログイン試行が確認される
WordPressに入れてあるセキュリティ系のプラグイン「SiteGuard」でログイン履歴を確認してみた。
1秒に数回という驚異的な速度でログインを試みている。複数回ログインに失敗したらそのIPアドレスからのアクセスを遮断するようにしているので次々にIPアドレスがロックされている様子が見受けられる。
管理者IDを「admin」から変更しているのでまったくもって的外れな攻撃ではあるし、僕のパスワードを突破するにはおそらく10年くらいはかかる。
完全に徒労なのだけど、ユーザー名を変更しない・パスワードを簡単なものにしている…という人だったら一瞬でアクセスされてしまうだろう。
WordPressのセキュリティ設定を見直す
放っておいてもパスワードが突破される気配はないし、ちょっとしたアルファブロガー(死語)になった気分にはなるんだけど、なにかしらの脆弱性と組み合わさってしまう可能性は捨てきれない。セキュリティを強化することにした。
とりあえず既に入れている「SiteGuard」から設定を行う。
XMLRPCの無効化
アクセスログを確認したところ、XMLRPCを使ったアクセス試行が9割以上を占めていた。
これはWordPressと外部サービスとのやり取りをする際に使われるもので、例えば他のアプリケーションから投稿をする場合などに使われるらしい。スマートフォン版のWordPressアプリなどにも使われているようだ。
ただ、そういった外部サービスを使用することが無いのであれば、これはオフにしてしまっても構わない。
使わないならさっさとオフにしてしまおう。
ログインページURLの変更
ほんの僅かながら正規のログインページからのアクセス試行も確認できた。
もともとログインページのURLは変更してあったのだけど、SiteGuardの初期設定で「login_数字5桁」で設定したままであったので、どうやらそこまでは突破されてしまったらしい。
このページを探すために手当たり次第大量のアクセスが記録されていたのだろうなあ。
ログインページもがっつり乱数のURLに変更させてもらった。アクセスできるならアクセスしてみてほしいものだ。
零細ブログでもこんなことが起こる
以上のセキュリティ対策を実施したところ、とりあえず数時間はログイン試行が遮断されている。
零細ブログでもサイバー攻撃のターゲットになるし、一度乗っ取ってしまえばサーバーから他のサーバーへの攻撃の踏み台に使われることがある。ある程度の対策はしないといけないだろう。
突然「あなたの契約しているサーバーからサーバー攻撃が確認されました」なんてことにもなりかねない。
数日様子を見てみたいと思う。
