こんちくわ あ゛じです。
オレがキミをストーカー変態野郎から一生守ってあげる!
遠い昔、そんな言葉をささやいた事あったっけ・・・。
すぐ別れたけどw
オレのWordpressアカウントが乗っ取りの危機!
先日、なんか突然、ブログ(サイト)のセキュリティが気になって、WordPressで運営しているいくつかのブログに「Limit Login Attempts Reloaded」というプラグインを入れてみました。
このプラグインは、ブログにログインする時に間違った入力を設定回数分すると、一定期間ログインを出来なくしてくれて、その時の情報を記録してくれるんです。
アカウント乗っ取りの手口として、パスワードを機械的に総当たりで探ってくる場合なんかには、かなり有効。
設定は以下のように、5回間違ったら60分ログイン出来ず、解除後にまた5回間違ったら今度は24時間ログイン出来ないというふうにしました。
(デフォルトのまんまかな?)
で、1ヶ月放置して状況を確認してみたところ、あるブログでは71回もロックアウトしてるじゃないですか!
この回数って、単純に71回間違った入力をしたんじゃなくて、5回間違ってカウント1だよね!?
なんかスゴくない?
もちろん乗っ取り野郎は機械的(プログラム)にやってるんだろうけどさ、同じ人がIP変えたり偽装してやってるんだか、多数の人が乗っ取りしようとしてるんだか・・・。
え~!
今までこんなにアタックされまくってたの?
ヤバすぎじゃん!!!
ユーザー名(ログインID)がバレていた!
無防備で責められまくってる状況なので、こりゃ防御しないとヤバイじゃん!ってことで、まずはログを確認してみます。
「Tried to log in as」の項目が、実際にログインしようとした時に入力されたIDです。
この部分。
「admin」っていうのはPCのログインIDなんかでも、一般的に良く使われているんで、複数回試されてますね。
そんなん使うワケねーだろ!
ばーか!ばーか!
と、言いたいところなんですが、黒く塗りつぶした部分・・・
当たってるんですけど!!!w
しかも明らかに狙い撃ち!!!
なんでー!?
なんで分かったん???
慌ててブログを確認してみたら・・・
ありました!!!
記事下に投稿者のユーザー名が表示されてました!
なに余計なことしてくれてんねん(汗)
この部分は選んだWordPressのテーマによって表示が違ってきますが、多くの場合、表示されてると思います。
乗っ取り野郎はこれに目を付けてきたんですね!
実はここの表示、WordPressのプロフィール編集で変えることが出来るんです。
(当ブログは以前から変更済み)
「ニックネーム」に好きな名前を入力すると、「ブログ上の表示名」でその名前を選択することが出来るようになります。
何もしないとデフォルトでユーザー名が表示されるようになっています。
ブログ開始時にここを変更しておけば良かったんですが、気付かずにそのままだったんで、記事にしっかりユーザー名が表示されてしまってました(汗)
アカウント乗っ取りの防御を実施
ならばと、これを非表示に変更です。
「外観」→「カスタマイズ」
「レイアウト(投稿・固定ページ)」を選択。
「投稿者情報の表示」のチェックを外します。
サーチコンソールにエラーが出るなんて書いてあるからオンにしてたけど、それどころじゃないですw
次にIPでアク禁を設定出来るプラグイン、「WP-Ban」をインストール。
ここに上記に記録された、乗っ取り野郎達のIPを登録です。
乗っ取り野郎が串を刺したりしてたら効果無いかな~って気もしますが、一応やっておきます。
ユーザー名自体を変えられれば一番良いんだけど、どうもそれは出来ないみたいなんで、現状で出来ることはこれくらいかな?
もし、ユーザー名を記録されちゃってたら、今更非表示にしても遅いかも(汗)
一応、パスワードの文字数を増やしとくか。
サーバーはセキュリティ設定が出来るところを選ぼう
実は上記ブログと同時に「Limit Login Attempts Reloaded」を設置したのに、ロックアウトが1回も無いブログ(サイト)がいくつもあります。
当ブログもその中のひとつ。
この違いは何なのかというと、利用しているレンタルサーバーの違いのようです。
レンタルサーバーによっては、サーバー側でこういう乗っ取り野郎からブログを守ってくれるんです。
当ブログはエックスサーバーを使ってるんですが、セキュリティ設定が出来ます。
設定が出来るというか、特にいじらなくても最初から乗っ取り野郎をブロックする設定になっているので安心。
たとえユーザーIDがバレたとしても、海外からの怪しいアクセスや総当たり攻撃は防いでくれるので、乗っ取られる危険度は低いと思われます。
あと、ロリポップにもセキュリティ設定がありました。
上記の乗っ取り野郎に狙われているブログは、去年初めて契約したサーバーを使ってるんです。
マイナーだけど、安くて性能が良さそうだったので・・・。
でも今になって改めて確認してみたら、セキュリティ面は全然でした(汗)
価格や性能ばかり気にしてたんじゃダメですね。
セキュリティなんてどこも同じレベルだと思い込んでいたのは、平和ボケ日本人だからかもw
あなたもカンタンに信用しないよう注意してくださいね。
(オレのことは信用しなさいw)
おわりに
今回はWordPressの事例だったけど、別のブログサービスでも同様のことが起きるし、ブログ以外のアカウントの乗っ取りだって頻繁に起きています。
●オレが実際に乗っ取られた(ログインされた)話
これからはネット上での護身術を身につけていかないと、ある日突然、路頭に迷うとか、犯罪者にされてしまうとかって事が起きちゃうかもですね。
ネットを利用しない生活なんてもはや不可能に近いし、なんかコワイっす。
コメント