ガジェマガ

ガジェットと生活改善のブログマガジン【火木土更新】

ブログを書くコツ

ブログを乗っ取られそうになった話【ブルートフォースアタック対策】

3月4月と2カ月の長期休みを取っていたんだけど、その期間内にブログへの攻撃があったからその手口とか対処法を解説する。

と言ってもブルートフォースアタックという超メジャーなやつで別に乗っ取りというほど大した話ではないんだけど、メジャーだからこそ対策は必須。

ブログ運営者とかこれからブログを運営しようとしている人は参考にしてほしい。

トーマスです。ツイッターYoutubeもやってます。お問い合わせはこちら




この記事の目次(クリックでジャンプ)

ブルートフォースアタックとは

ブルートフォースアタックはウェブ上で不正アクセスを行うために用いられる最もメジャーな攻撃手段で、原理はチャリのダイヤルロックを0から9999まで全部試すのと同じ。

ターゲットとなるウェブサイトに手当たり次第にログインIDとパスワードを入力して当たればラッキーというもの。もちろん人の手でやってるわけでなく、悪意あるプログラミングによる全自動で、今回ガジェマガがターゲットになったのも本当にたまたま。

ブルートフォースアタックの目的はその先の犯罪

そしてブルートフォースアタックの主な目的はウェブサイトを乗っ取ることではなく、他人の名義で犯罪を行うことなんだ。つまり乗っ取れるならどこでもよくて、乗っ取る先の規模を問わない。ブログの規模が小さいからと言って安心はできない。

しかも乗っ取られると自分の名義で犯罪が行われるから知らず知らずのうちに片棒を担ぐことにもなるのが厄介。だから対策をしておくに越したことはないという話。

ちなみにブルートフォースアタックの主な攻撃元は中国らしい。イメージ通り。

ガジェマガはブルートフォースアタック対策済み

もちろんガジェマガは俺の生活の基盤でもあるから絶対に乗っ取られるわけにはいかないということでブルートフォースアタックの対策済み。実際にブルートフォースアタックを受けた際に来た通知が下記。

ユーザーネームadminを使ったIPアドレス108.160.134.158からのログインをロックしましたという内容。ブルートフォースアタックは無差別攻撃だからユーザーネームは世界で最も使われているであろう「admin」を使うらしい。現在adminを使っている人は変更した方がよさげ。

ガジェマガのブルートフォースアタック対策内容

上の通知が来たのは俺がワードプレスのプラグインでブルートフォースアタックの対策をしているからなんだけど、その対策内容は下記3点。

  • ガジェマガのログインURLの変更
  • ガジェマガのログインページの入力情報を追加
  • ガジェマガのログイン試行回数を3回に限定

ガジェマガのログインURLの変更

ガジェマガに限らず50%のウェブサイトはワードプレスというウェブシステムで作成されているんだけど、ウェブ上にシステムがあるということはログインURL、ログインID、パスワードを知っていれば誰でもアクセスができてしまうということでもある。

実際下記がワードプレス運営者なら誰でも見たことがあるログイン画面で、ここにアクセスできればあとはユーザー名とパスワードを入力すればブログの乗っ取りが可能。ワードプレスによるブログシステムは意外に脆い。

そしてワードプレスのログイン画面のURLは意図的に変更しない限りは全て同じで(ウェブサイトアドレス/wp-admin)という感じになる。例えばガジェマガの場合は2week.net/wp-adminという感じ。

ログインページにアクセスされたところでユーザー名とパスワードがわからなければログインはできないんだけど、そもそもログインページにすらアクセスさせなければ乗っ取りの可能性は無くなる。どんな強固なロックよりカバーの方がバイクの盗難を防ぎやすいのと同じ。

ということでガジェマガはログインページのURLを変更しているんだけど、今回のブルートフォースアタックはログイン画面には到達してるから、URLの壁は突破されてた。マジで総当たりで攻撃してるっぽくてすごい。

ガジェマガのログイン失敗可能回数を3回に限定

ブルートフォースアタックは全自動でユーザー名とパスワードの総当たりを行う攻撃だから何度もログインを試行することが前提。つまり同じ人によるログイン試行回数に制限を設けてやれば対策が可能。

ガジェマガのログインページも対策済みで、ログインに3回失敗した場合はそのIPアドレスからのアクセスを一定時間遮断する。と同時に上で紹介したメールによる通知が行われて俺が攻撃に気付いたという流れ。

ガジェマガのログインページの入力情報の追加

ここまででブルートフォースアタックの対策はできているんだけど、実際の攻撃を目の当たりにして更に対策を追加することにしたのが下記。

ログインページにユーザー名とパスワードだけでなく簡易の計算結果の入力も必要にした。上の画像だと18+20だから38と入力しないとログインできない仕組み。この計算式は毎回変わる。

繰り返しになるけどブルートフォースアタックはプログラムによる自動攻撃だから応用が利かない。つまりワードプレスのユーザー名とパスワードを自動で入力出来ても計算まではできないから、これでより強固にブログを守れるというからくり。

ブルートフォースアタックの対策方法

ここまででブルートフォースアタックの話は終わり。ここからは具体的に対策しているプラグインとその設定方法を解説する。今全く対策していない人は参考にしてほしい。

All In One WP Securityをインストール

まずAll In One WP Securityをインストールする。(⇒ ダウンロード

ユーザーログインの設定

ダッシュボード左側にWPセキュリティの項目が出現するから、その中から「ユーザーログイン」を選択して下記を設定する。

  • ログインロックダウン機能を有効かにチェック
  • 最大ログイン試行回数を設定
  • ログイン再試行時間を設定
  • ロックアウト時間の長さを設定
  • 通知するメールアドレスを設定

総当たり攻撃の設定

次に左側メニューから「総当たり攻撃」(ブルートフォースアタック)を選んでログインページURLを任意の物に変更する。

これで設定を保存するとログインページのURLが変わってしまうから忘れないうちにお気に入りの登録を変更したい。

最後に同じく「総当たり攻撃」から「ログインCaptcha」タブを選択して「ログインページでCAPTCHAを有効化」にチェックを入れれば計算式の答えがログインに必要になる。

これで晴れてブルートフォースアタックの対策は完了。5分で終わる。

プラグインのアンインストールで設定解除も可能

ブルートフォースアタックを対策してしまうと怖いのが万が一自分が試行回数制限に引っかかってログインできなくなってしまった場合なんだけど、そんな時はFFFTPから直接プラグインを削除すればOK。

FFFTPは説明するとそれだけで一つの記事になってしまうから自分で調べてほしいんだけど、簡単に解説するとFFFTPを使えば自分が借りているサーバーのデータを直接管理することが可能。

つまりワードプレスのフォルダとかプラグインのフォルダがたくさん入っているから、All In One WP Securityのフォルダを直接削除すればいいだけ。

これによってブルートフォースアタックの対策が無効化されてログイン試行回数の制限が消えるからまたログインできるようになる。(⇒ FFFTPダウンロード

最悪の事態を避けるために

繰り返しになるけどブルートフォースアタックの目的は他人の名義だから、ターゲットは全自動で選ばれるし規模の大小を問わない。

犯罪の片棒を担がされる無駄なリスクを背負わないために、ワードプレスでブログを運営している人は稼げている稼げていないに関わらず必ず対策に取り組んでほしい。あとユーザーネームにadminを使っている人は推測されやす過ぎるから変更するのがおすすめ。

スマホ レビュー

2022/11/5

【Pixel 7 Proレビュー】最も理想的なAndroidスマホ

いつの間にかPixelシリーズの年一回の発売が恒例になり、Tensor搭載後はブランド力も獲得し、独自機能も増え、毎年のPixel発売が話題になるようになった。 そして今年も俺の手元には最新となるPixel 7 Proがある。ということで今年も今年のPixelはどうなのかをレビューする。 【結論】Pixel 7 Proはバージョンアップ版 先に結論から言ってしまうとPixel 7 ProはPixel 6 Proのバージョンアップ版に過ぎず、ほぼ変化がない。実際に使用感に影響する進化点は下記の2点のみ。 超 ...

ライフハック 買ってよかったもの

2022/11/27

【2022年版】生活が変わるガジェマガ式買ってよかったもの17選

いよいよ一人暮らしも9年目に突入していて、欲しいモノは一通り買ってしまった。これからも物欲は尽きることないだろうし、ガジェットに限らず様々な物を購入することになると思うけど、今後は足りないものを補うというより、今あるものをグレードアップする買い物が主流になると思う。 そんな満たされた生活の中でも、俺基準俺調べの買ってよかった商品を、生活に与えたインパクト順にランキング形式でを紹介したい。正直もっと早く買っておけば良かったと思うものばかりなので、まだ持っていないものがあれば急いで購入してほしい。 15位 黒 ...

ライフハック 買ってよかったもの

2021/10/8

【そもそも鞄いる?】ガジェマガの中の人のポケットとカバンの中身

多くの有名ブロガーがカバンの中身を記事にしているのにガジェマガではまだ一度も鞄の中身について書いたことがなかった。ブロガーになりたいのであれば、他のブロガーが書いている記事はしっかりと抑えておきたいということで、今回はガジェマガなりのカバンの中身と、ポケットの中身を紹介したい。 鞄はオカマの象徴 in USA 俺は中学生高校生の頃はリュックサックを使っていたし、社会人になってからはボディバッグを休日の荷物入れとして使っていた。社会人になり立ての頃にアメリカに留学していた妹と再会する機会があって、アメリカの ...

ライフハック 体験談

2021/6/18

【狭い家のメリットデメリット】6畳1Kに8年住んだ感想【一人暮らし

田舎の人が都会に引っ越す際に危惧するのは部屋の狭さなんだけどそれは間違ってない。都会は家賃が高いから広い部屋に住めない。 でもそれは悪いことばかりではない。寧ろ狭い部屋は快適だな。と渋谷区6畳1Kの家に8年住んで思う。ということで今回は俺が感じた狭い部屋に住むメリットデメリットを解説する。 狭い部屋の家賃だけじゃないメリット 狭い部屋は家賃が安い。これが最大のメリットなのは間違いない。 東京都の平均家賃相場は22万円 実際俺が住む東京都渋谷区は日本でもトップクラスに家賃が高いエリアで、2LDKとかを選んだ ...

ライフハック

2022/11/9

【デメリット】タワマンを実際に内見して断念した理由【庶民の憧れ】

タワマンに住みたい。という記事を以前出して、その後もタワマンを内見したり色々と検討したりしていたんだけど一旦断念することにした。 ということで断念するまでに悩んだ葛藤を記事にする。現在タワマンを検討している人は参考になれば嬉しい。 タワマンは庶民の憧れ 「いやいやタワマンなんて住んだところで」って意見はすげぇ来るんだけど、なんだかんだタワマンの記事はアクセスが超多くて注目度が高い。 タワマンを検討した記事は下記。 というのもタワマンは結局庶民の憧れなんだ。でも家賃が高すぎて住めない。だから住まない理由を探 ...

メンズ美容・健康 体験談

2022/11/4

【高すぎ】ゴリラクリニックのヒゲ脱毛で30万円提示された話【評判・口コミ】

髭いらねーって思って髭の永久脱毛に手を出そうとしたんだけど、ゴリラ脱毛のカウンセリング価格が想像以上に高くて、ネットでの値段の記載方法が悪質だと感じたので今日はその件を書きたい。 毎日髭剃るのめんどくさい みんなもそうだと思うけど、朝起きて仕事行くまでの時間は戦争だ。なぜなら俺はなるべく寝ていたい!むしろ起きたくない!でも社会人なので流石に会社に遅刻するわけにもいかず、毎日生きるためにゾンビ顔負けの死んだ表情で通勤しているのが実情だ。 そんな社会人にとって朝の時間は貴重だ。歯を磨いて顔を洗って髭そって朝ご ...

DIY ライフハック

2022/10/4

【ベッド拡張DIY】シングルベッドを横に30cm広げる【ダブル】

一人暮らしだからと言ってシングルベッドに拘る必要があるだろうか、いやない(反語)。ということに一人暮らし10年目にして気づいたからベッドを拡張することにした。 いつの間にか6畳1Kの限界に挑むのが俺の生きがいになりつつあるんだけど今回は多分その集大成にして頂点。色々取り組んできた部屋改善は多分これで終わりになる。 ということで実際にベッドをどう拡張したのか、6畳でベッドを大きくして快適になったのか、生活に支障は出ないのかを解説したい。 6畳1Kの限界に挑む 繰り返しになるけど俺は10年間6畳1Kの激狭物件 ...

ライフハック 俺の一軍

2022/11/12

【ルームツアー】家で使ってる物一覧と選んだ理由、感想【俺の一軍】

ガジェマガでは過去に色々な商品をレビューしすぎていて、 「で、結局今のお前は何を使ってるの?」 って聞かれることが多いから、ここでは俺の家で今現在使っている物と、それを使っている理由、感想を一言でまとめる。住環境構築の参考にしてほしい。 この記事では何か環境が変わるたびに内容を随時更新して俺の1軍をまとめる続ける予定(最終更新2022年11月10日) 家で使っている物一覧 まず俺が家の中で使っている物を一覧にすると下記。 クリックで感想にジャンプ リビング環境 壁美人 テレビ ChromeCast Fir ...

デスク環境 パソコン・周辺機器 俺の一軍

2022/11/17

【デスクツアー】デスクアイテム一覧と使ってる理由、感想【俺の一軍】

ガジェマガでは過去に色々な商品をレビューしすぎていて、 「で、結局今のお前は何を使ってるの?」 って聞かれることが多いから、ここではデスク環境周辺で俺が今現在使っている物と、それを使っている理由、感想を一言でまとめる。デスク環境構築の参考にしてほしい。 この記事では「俺の一軍シリーズ」として環境が変わるたびに内容を随時更新する続ける予定(最終更新2022年10月13日) デスク環境周辺で使っている物一覧 まず俺がデスク環境周辺で使っている物を一覧にすると下記。 クリックで感想にジャンプ デスク・椅子 Fl ...

スマホ レビュー

2021/12/14

【iPhone 13 Proレビュー】スマホ史上最高傑作。弱点4つ

毎年恒例のiPhone13シリーズが発売されたから俺も例に漏れずに購入した。別の記事でも解説した通り今回のiPhoneはProモデルが熱い。 ということでPro Maxを買いたかったんだけど出荷数が少なすぎるらしく手に入らなかったから大きさ以外の仕様が同じProを購入した。13になることでどれほど進化しているのかを確認したい。 iPhone 13 Proの特徴 今回のiPhone 13はProモデルが熱いというのは上でも書いた通りだけど、Proモデルは進化点が多い。特徴は下記。 リフレッシュレート120H ...

体験談 自転車・バイク

2022/10/30

【体験談】バイク王の買取でボコボコにされた話【評判・口コミ】

19歳の時にホーネット250を購入して27歳までで6万キロ乗ったんだけど、俺が東京に来たことですっかり乗らなくなってしまった。 28歳で一度帰省した時にエンジンをかけたことはあったんだけど、それ以降はめっきりで、既に放置して4年が経過していた。 このホーネットは思い出だらけではあるんだけど恐らくもう乗ることは無い。ということでバイク王を呼んで売却することにしたんだけど、その買い取り査定士の癖が強すぎたから交渉体験をまとめたい。 これからバイク王でバイクを売る人の参考にしてほしい。 ホーネット250の状態は ...

DIY ライフハック

2021/10/1

【壁掛けテレビの理想と現実】壁美人を3か月使った感想【賃貸】

賃貸でもテレビを壁掛け出来るのに原状復帰までできてしまう壁美人を導入してから早3カ月。まだテレビは一度も落ちていない。 とはいえ720個ものホチキスで取り付けるのってどうなの?とか、テレビを壁掛けにした不便はないの?と買いたいけど二の足を踏んでいる人は多いはず。 という仮定の下で壁美人を実際に3か月使った感想を書いていく。記事の内容的に楽だからという理由ではけっしてない。 壁美人はホチキスで壁に取り付け 壁美人の紹介記事でも書いた通りだけど、壁美人は720発ものホチキスで壁に取り付けることで25キロまでの ...

-ブログを書くコツ

Copyright© ガジェマガ , 2022 All Rights Reserved Powered by AFFINGER5.