ガジェマガ

ガジェットと生活改善のブログマガジン【火木土更新】

ブログを書くコツ

ブログを乗っ取られそうになった話【ブルートフォースアタック対策】

3月4月と2カ月の長期休みを取っていたんだけど、その期間内にブログへの攻撃があったからその手口とか対処法を解説する。

と言ってもブルートフォースアタックという超メジャーなやつで別に乗っ取りというほど大した話ではないんだけど、メジャーだからこそ対策は必須。

ブログ運営者とかこれからブログを運営しようとしている人は参考にしてほしい。

トーマスです。ツイッターYoutubeもやってます。お問い合わせはこちら




この記事の目次(クリックでジャンプ)

ブルートフォースアタックとは

ブルートフォースアタックはウェブ上で不正アクセスを行うために用いられる最もメジャーな攻撃手段で、原理はチャリのダイヤルロックを0から9999まで全部試すのと同じ。

ターゲットとなるウェブサイトに手当たり次第にログインIDとパスワードを入力して当たればラッキーというもの。もちろん人の手でやってるわけでなく、悪意あるプログラミングによる全自動で、今回ガジェマガがターゲットになったのも本当にたまたま。

ブルートフォースアタックの目的はその先の犯罪

そしてブルートフォースアタックの主な目的はウェブサイトを乗っ取ることではなく、他人の名義で犯罪を行うことなんだ。つまり乗っ取れるならどこでもよくて、乗っ取る先の規模を問わない。ブログの規模が小さいからと言って安心はできない。

しかも乗っ取られると自分の名義で犯罪が行われるから知らず知らずのうちに片棒を担ぐことにもなるのが厄介。だから対策をしておくに越したことはないという話。

ちなみにブルートフォースアタックの主な攻撃元は中国らしい。イメージ通り。

ガジェマガはブルートフォースアタック対策済み

もちろんガジェマガは俺の生活の基盤でもあるから絶対に乗っ取られるわけにはいかないということでブルートフォースアタックの対策済み。実際にブルートフォースアタックを受けた際に来た通知が下記。

ユーザーネームadminを使ったIPアドレス108.160.134.158からのログインをロックしましたという内容。ブルートフォースアタックは無差別攻撃だからユーザーネームは世界で最も使われているであろう「admin」を使うらしい。現在adminを使っている人は変更した方がよさげ。

ガジェマガのブルートフォースアタック対策内容

上の通知が来たのは俺がワードプレスのプラグインでブルートフォースアタックの対策をしているからなんだけど、その対策内容は下記3点。

  • ガジェマガのログインURLの変更
  • ガジェマガのログインページの入力情報を追加
  • ガジェマガのログイン試行回数を3回に限定

ガジェマガのログインURLの変更

ガジェマガに限らず50%のウェブサイトはワードプレスというウェブシステムで作成されているんだけど、ウェブ上にシステムがあるということはログインURL、ログインID、パスワードを知っていれば誰でもアクセスができてしまうということでもある。

実際下記がワードプレス運営者なら誰でも見たことがあるログイン画面で、ここにアクセスできればあとはユーザー名とパスワードを入力すればブログの乗っ取りが可能。ワードプレスによるブログシステムは意外に脆い。

そしてワードプレスのログイン画面のURLは意図的に変更しない限りは全て同じで(ウェブサイトアドレス/wp-admin)という感じになる。例えばガジェマガの場合は2week.net/wp-adminという感じ。

ログインページにアクセスされたところでユーザー名とパスワードがわからなければログインはできないんだけど、そもそもログインページにすらアクセスさせなければ乗っ取りの可能性は無くなる。どんな強固なロックよりカバーの方がバイクの盗難を防ぎやすいのと同じ。

ということでガジェマガはログインページのURLを変更しているんだけど、今回のブルートフォースアタックはログイン画面には到達してるから、URLの壁は突破されてた。マジで総当たりで攻撃してるっぽくてすごい。

ガジェマガのログイン失敗可能回数を3回に限定

ブルートフォースアタックは全自動でユーザー名とパスワードの総当たりを行う攻撃だから何度もログインを試行することが前提。つまり同じ人によるログイン試行回数に制限を設けてやれば対策が可能。

ガジェマガのログインページも対策済みで、ログインに3回失敗した場合はそのIPアドレスからのアクセスを一定時間遮断する。と同時に上で紹介したメールによる通知が行われて俺が攻撃に気付いたという流れ。

ガジェマガのログインページの入力情報の追加

ここまででブルートフォースアタックの対策はできているんだけど、実際の攻撃を目の当たりにして更に対策を追加することにしたのが下記。

ログインページにユーザー名とパスワードだけでなく簡易の計算結果の入力も必要にした。上の画像だと18+20だから38と入力しないとログインできない仕組み。この計算式は毎回変わる。

繰り返しになるけどブルートフォースアタックはプログラムによる自動攻撃だから応用が利かない。つまりワードプレスのユーザー名とパスワードを自動で入力出来ても計算まではできないから、これでより強固にブログを守れるというからくり。

ブルートフォースアタックの対策方法

ここまででブルートフォースアタックの話は終わり。ここからは具体的に対策しているプラグインとその設定方法を解説する。今全く対策していない人は参考にしてほしい。

All In One WP Securityをインストール

まずAll In One WP Securityをインストールする。(⇒ ダウンロード

ユーザーログインの設定

ダッシュボード左側にWPセキュリティの項目が出現するから、その中から「ユーザーログイン」を選択して下記を設定する。

  • ログインロックダウン機能を有効かにチェック
  • 最大ログイン試行回数を設定
  • ログイン再試行時間を設定
  • ロックアウト時間の長さを設定
  • 通知するメールアドレスを設定

総当たり攻撃の設定

次に左側メニューから「総当たり攻撃」(ブルートフォースアタック)を選んでログインページURLを任意の物に変更する。

これで設定を保存するとログインページのURLが変わってしまうから忘れないうちにお気に入りの登録を変更したい。

最後に同じく「総当たり攻撃」から「ログインCaptcha」タブを選択して「ログインページでCAPTCHAを有効化」にチェックを入れれば計算式の答えがログインに必要になる。

これで晴れてブルートフォースアタックの対策は完了。5分で終わる。

プラグインのアンインストールで設定解除も可能

ブルートフォースアタックを対策してしまうと怖いのが万が一自分が試行回数制限に引っかかってログインできなくなってしまった場合なんだけど、そんな時はFFFTPから直接プラグインを削除すればOK。

FFFTPは説明するとそれだけで一つの記事になってしまうから自分で調べてほしいんだけど、簡単に解説するとFFFTPを使えば自分が借りているサーバーのデータを直接管理することが可能。

つまりワードプレスのフォルダとかプラグインのフォルダがたくさん入っているから、All In One WP Securityのフォルダを直接削除すればいいだけ。

これによってブルートフォースアタックの対策が無効化されてログイン試行回数の制限が消えるからまたログインできるようになる。(⇒ FFFTPダウンロード

最悪の事態を避けるために

繰り返しになるけどブルートフォースアタックの目的は他人の名義だから、ターゲットは全自動で選ばれるし規模の大小を問わない。

犯罪の片棒を担がされる無駄なリスクを背負わないために、ワードプレスでブログを運営している人は稼げている稼げていないに関わらず必ず対策に取り組んでほしい。あとユーザーネームにadminを使っている人は推測されやす過ぎるから変更するのがおすすめ。

スマホ レビュー

2020/11/15

【iPhone12レビュー】ライバルは2万円安いiPhone11

毎年秋の風物詩となりつつある最新型のiPhone12が今年も発売された。今回のiPhone12シリーズは4モデルもあってどれを購入するか迷うんだけど、とりあえず俺は最もベーシックで売れるであろうiPhone12を購入したからレビューしたい。 この他にもうすぐ発売となるiPhone12 Pro Maxの購入を迷っているところではあるんだけど、iPhone12とほとんど一緒だからモチベは低め。凄そうなら買う。多分買わない。 iPhone12の特徴 iPhone12の特徴は下記。 最強CPU A14チップ搭載 ...

ReadMore

ライフハック 買ってよかったもの

2021/2/17

【2021年版】生活が変わるガジェマガ式買ってよかったもの17選

いよいよ一人暮らしも9年目に突入していて、欲しいモノは一通り買ってしまった。これからも物欲は尽きることないだろうし、ガジェットに限らず様々な物を購入することになると思うけど、今後は足りないものを補うというより、今あるものをグレードアップする買い物が主流になると思う。 そんな満たされた生活の中でも、俺基準俺調べの買ってよかった商品を、生活に与えたインパクト順にランキング形式でを紹介したい。正直もっと早く買っておけば良かったと思うものばかりなので、まだ持っていないものがあれば急いで購入してほしい。 17位 黒 ...

ReadMore

ライフハック 買ってよかったもの

2020/7/28

【そもそも鞄いる?】ガジェマガの中の人のポケットとカバンの中身

多くの有名ブロガーがカバンの中身を記事にしているのにガジェマガではまだ一度も鞄の中身について書いたことがなかった。ブロガーになりたいのであれば、他のブロガーが書いている記事はしっかりと抑えておきたいということで、今回はガジェマガなりのカバンの中身と、ポケットの中身を紹介したい。 鞄はオカマの象徴 in USA 俺は中学生高校生の頃はリュックサックを使っていたし、社会人になってからはボディバッグを休日の荷物入れとして使っていた。社会人になり立ての頃にアメリカに留学していた妹と再会する機会があって、アメリカの ...

ReadMore

ライフハック 体験談

2020/12/13

【狭い家のメリットデメリット】6畳1Kに8年住んだ感想【一人暮らし

田舎の人が都会に引っ越す際に危惧するのは部屋の狭さなんだけどそれは間違ってない。都会は家賃が高いから広い部屋に住めない。 でもそれは悪いことばかりではない。寧ろ狭い部屋は快適だな。と渋谷区6畳1Kの家に8年住んで思う。ということで今回は俺が感じた狭い部屋に住むメリットデメリットを解説する。 狭い部屋の家賃だけじゃないメリット 狭い部屋は家賃が安い。これが最大のメリットなのは間違いない。 東京都の平均家賃相場は22万円 実際俺が住む東京都渋谷区は日本でもトップクラスに家賃が高いエリアで、2LDKとかを選んだ ...

ReadMore

ライフハック

2021/2/19

タワマンに住みたいからメリットデメリットを考える【一人暮らし】

久しぶりに興味があることが見つかって最近テンションが上がってる。タワマンに住みたい。今の8万円の家の立地は最強だし、設備の割に家賃が安くて気に入ってはいるんだけど、さすがに9年住んで色々と限界を感じているのが正直なところ。 そろそろ引っ越したいと思うことが増えてきていたんだけど、どうせなら振れ幅重視でタワマンに住んだら面白いかも。と思ったのがきっかけ。ただ、タワマンなんて人生初だし怖すぎ。ということで俺がタワマンを検討している理由と、タワマンに住むメリットデメリットを検討する。 今の家の不満点 まずはタワ ...

ReadMore

スマホ レビュー

2020/11/10

【Galaxy Note20 Ultraレビュー】浪漫の塊。コスパは最悪。

2年間カメラのために愛用しつづけたMate 20 Proを遂に乗り換える。その候補がOnePlus 8 ProとGalaxy Note20 Ultraなんだ。OnePlus 8 Proは既にレビューをしていて8万円で買える最強スマホと言える仕上がりなんだけど、スマホは乗り換えたら多分1年は使うことになるから、メインスマホ選びは慎重にならざるを得ない。 ということで15万円もする超最強スマホGalaxy Note20 Ultraを入手したからレビューする。 Galaxy Note20 Ultraの特長 Ga ...

ReadMore

AFFINGER5導入

2020/6/4

【ブログで稼ぐ】AFFINGER5導入から1年5か月のPVと収益

ブログで稼ぐならワードプレスを使った方が良い、ワードプレスで稼ぐなら有料テーマを使った方が良いという話は聞いたことがある人も多いと思う。 俺もその話を鵜呑みにしてワードプレスの有料テーマAFFINGER5を購入した口なんだけど、AFFINGER5を導入したことでどれくらい効果があったのかをガジェマガの事例で紹介したい。 ガジェマガ運営の経緯 まずはガジェマガ運営の経緯を紹介する。 2015年10月にFC2でブログ運営開始 2016年5月頃にオススメスマホランキング記事が検索上位に表示される 2016年5月 ...

ReadMore

メンズ美容・健康 ライフハック 体験談

2021/1/6

【体験談】ICLカウンセリングでレーシックに申し込んだ話【視力矯正】

最近レーシックとかICLと言った視力矯正手術を耳にする機会が増えていて、俺もせっかくだから視力を良くしようとICLに申し込んだ結果、レーシックの予約をして家に帰った。何を言っているのかわからないと思うけど俺にもわかっていない。 ということでカウンセリングでなにが起きたのか、なぜICLではなくレーシックを選んだのかを解説する。 視力の悪さは機会損失 俺の視力はギリ裸眼で生活できるレベルで、両目0.7なこともあって車の運転するときもコンタクトとかメガネは使わない。かといって十分な視力というわけではなく、遠くの ...

ReadMore

-ブログを書くコツ

Copyright© ガジェマガ , 2021 All Rights Reserved Powered by AFFINGER5.