スマート プレゼンター®でセミナー撮影

WordPress wp-loginの不正アクセス対策

今日、サーバーの管理会社のサポートの方から恐るべき知らせが入っていました。

———————————————————

お客様Webサイト「a-flat.biz」に関しましてお願いがございます。

当該サイトでは1分間に数百に及ぶ不正アクセスが

数ヶ月にわたり断続的に発生しております。

——————————————————–

これは、やばいと思い、対策をしたので、いくつかの方法を覚書で残しておきます。

そもそも、うちのようにCMSでサイトを作っている場合、管理コンソールのログインのURLなんてすぐに分かるでしょう。

具体的には、不正アクセスを助長するようなものなのでやめますが、CMSでサイトを作っている人なら、簡単によその会社の管理コンソールへのログイン画面へたどり着けるでしょう。

Webサイトを見れば、CMSかどうかは見ればだいたい分かります。

なので、今更ながらセキュリティ上の脆弱性を思い知ったわけです。

で、セキュリティの対策としては何があるか?

次の3点です。

1.CMSに応じたセキュリティ用のプラグインを入れる

2..htaccessを編集する

3.管理者アカウントを変更する

1.2までは、アクセスできるIPを指定することで、不正アクセスをブロックします。

3.は、万が一突破された場合、デフォルトの管理者アカウントのままだと、

IDは判明してしまっているので、独自のものに変更するということです。

なお、CMSのセキュリティの用のプラグインとしては、

●PS SecurePress

http://ja.forums.wordpress.org/topic/2665

http://www.web-strategy.jp/wp_plugin/ps_secure_press/

があります。

ダウンロードページには、

「アクセス元のIPもしくはホスト名によりアクセスの制限を行います。制限された領域においては許可されたIPもしくはホスト名からしかアクセスできなくなります。」

と書かれています。これで、自社のIPのみを許可することができます。

「制限された領域」というのは、管理コンソール、ログイン画面、サイト全体のどの部分を保護するかと言うことです。

その他、個別にURLを入れて、指定することもできます。

次に、.htaccessですが、こちらもIPを使って保護をすることができます。

こんな書き方をします。

order deny,allow "#断る方が先で、その後に許可するものを決めるぞ!"
deny from all "#とにかく、全部アクセスしちゃだめ!"
allow from .yourDaomain.com "#でも、このドメインからは入っていいよ"
allow from xxx.xxx.xxx.xxx "#なお、IPアドレスで言うと、この人は入っていいよ"
allow from localhost "#最後に、ローカルエリアなら許可しましょう。ローカル作業もあるだろうしね。"

denyは断るという意味があり、allowは許すという意味があります。

それを知っていれば、この内容は簡単に分かるでしょう。

これを、.htaccess内に追記します。

ちなにみ、.htaccessは、公開用のディレクトリ直下に置いておくもので、主にアクセスの振り分けをするのに使います。

デバイスに応じて振り分けたりできますが、こんな風にセキュリティの目的で用いることもあります。

ということで、今更ながらCMSの脆弱性について考えましたという、お話でした。

記事がお役に立てましたら、下部のはてなブックマークなどの、ポチりをお願いします。
--------------------------------------------

■略歴

石田 知志(いしだ さとし)

(株)A-flat代表取締役

http://a-flat.biz

03-5779-7694

IT系を中心とした各種の教材制作、テクニカルライティング、映像制作、セミナー撮影、技術資料の翻訳などを行っています。

主要なサービスとしては、画面録画付きセミナー撮影サービス「スマート☆プレゼンター」を提供しています。

http://a-flat.biz/archives/service-category/video

スクリーンも同時に精細に収録し、すぐにコンテンツ化します。セミナーDVDの制作、eラーニング、Webセミナー、Ustream中継などでご利用いただけます。