私が愛用しているレンタルサーバーのロリポップからお知らせがきました。「WordPress ダッシュボードへのログインができないよう対応を行」いましたとのこと。ご親切はありがたいのですが、一体どうしてこんなことに?どうやら再びWordPressを狙った大規模なブルートフォースアタックが発生しているようのです。
ロリポップのお知らせは以下のとおりです。
この度、「LAA***********」のご契約で利用されているWordPress の wp-login.php に対し、複数回のログイン試行が確認されました。アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への不正なログインを試みるアクセスの可能性が高いと判断されたため、弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、WordPress ダッシュボードへのログイ総当たり攻撃や辞書攻撃ができないよう対応を行っております。
(「総当たり攻撃や辞書攻撃」がブルートフォースアタックのことです。)
対象となっているWordPressブログはここ一か月の間、ログインしていませんでしたので全く気づきませんでした。早速ログインを試みると上記の「アクセス制限表示」が出ました。
ロリポップ側が施してくれた一時な対策は以下の .htaccess ファイルのとおり。
ここを見ると見事に「Deny From All」(全てブロック)となっております。次の行の「Allow from IP-Address」以外からはだめよ!というわけです。
対策はいたって簡単です。詳細はWordPressの.htaccess編集 にあるのですが、基本的にはWordPressにログインする端末のIPアドレスを全て調べて.htaccessに以下のように記入してゆけばいいだけですね。
Allow from IPADDRESS1
Allow from IPADDRESS2
Allow from IPADDRESS3
・・・
グローバルIPアドレスを知る方法は、WordPressにログインする端末から【使用中のIPアドレス確認】へアクセスするだけで教えてくれます。
Chromeで確認したいなら以下の拡張機能が便利です。
[Google Chrome]拡張編(8)パソコンのIPアドレスを知れる「IPcopy」は何かと便利
しかし上記の方法では、様々なWiFi環境に接続しならが利用するスマホなどには向きません。すべてのIPアドレス調べ上げて.htaccessに書き込むのは面倒です。またPCでもしばしばIPアドレスが変わるプロバイダには向きません。
そこでロリポップが推奨しているのは.htaccessを以下のように書き換えて、WordPressのログインパスワードを変更し、「WAF」(ファイアウォール)を有効にするというものです。
[補足]
実はこの「WAP」を解除しておりました。ロリポップでテーマ編集時に403エラーの解決策とは?WAFを一時的に無効に の記事で書いておりますようにテーマの編集がWeb上でできなかったからです。ですからブルートフォースアタック対策でロリポップが気を利かせて.htaccessですべてのログインをブロックしてくれたわけですね。
■ まとめ
ロリポップは昨年の苦い経験から徹底的にユーザーを守ってくれているようですね。ありがたい話です。
WordPressの不正ログイン攻撃から身を守る方法として【まとめ】ブルートフォースアタックに対する3つの対策 という記事でまとめております。
コメント