〈景品表示法に基づく表記〉当サイトはアフィリエイトプログラムによる収益を得ています。

ブログを書くコツ

ブログを乗っ取られそうになった話【ブルートフォースアタック対策】

3月4月と2カ月の長期休みを取っていたんだけど、その期間内にブログへの攻撃があったからその手口とか対処法を解説する。

と言ってもブルートフォースアタックという超メジャーなやつで別に乗っ取りというほど大した話ではないんだけど、メジャーだからこそ対策は必須。

ブログ運営者とかこれからブログを運営しようとしている人は参考にしてほしい。

トーマスです。TwitterYoutubeTikTokもやってます。【お問い合わせ自己紹介半生振り返り

この記事の目次(クリックでジャンプ)

ブルートフォースアタックとは

ブルートフォースアタックはウェブ上で不正アクセスを行うために用いられる最もメジャーな攻撃手段で、原理はチャリのダイヤルロックを0から9999まで全部試すのと同じ。

ターゲットとなるウェブサイトに手当たり次第にログインIDとパスワードを入力して当たればラッキーというもの。もちろん人の手でやってるわけでなく、悪意あるプログラミングによる全自動で、今回ガジェマガがターゲットになったのも本当にたまたま。

ブルートフォースアタックの目的はその先の犯罪

そしてブルートフォースアタックの主な目的はウェブサイトを乗っ取ることではなく、他人の名義で犯罪を行うことなんだ。つまり乗っ取れるならどこでもよくて、乗っ取る先の規模を問わない。ブログの規模が小さいからと言って安心はできない。

しかも乗っ取られると自分の名義で犯罪が行われるから知らず知らずのうちに片棒を担ぐことにもなるのが厄介。だから対策をしておくに越したことはないという話。

ちなみにブルートフォースアタックの主な攻撃元は中国らしい。イメージ通り。

ガジェマガはブルートフォースアタック対策済み

もちろんガジェマガは俺の生活の基盤でもあるから絶対に乗っ取られるわけにはいかないということでブルートフォースアタックの対策済み。実際にブルートフォースアタックを受けた際に来た通知が下記。

ユーザーネームadminを使ったIPアドレス108.160.134.158からのログインをロックしましたという内容。ブルートフォースアタックは無差別攻撃だからユーザーネームは世界で最も使われているであろう「admin」を使うらしい。現在adminを使っている人は変更した方がよさげ。

ガジェマガのブルートフォースアタック対策内容

上の通知が来たのは俺がワードプレスのプラグインでブルートフォースアタックの対策をしているからなんだけど、その対策内容は下記3点。

  • ガジェマガのログインURLの変更
  • ガジェマガのログインページの入力情報を追加
  • ガジェマガのログイン試行回数を3回に限定

ガジェマガのログインURLの変更

ガジェマガに限らず50%のウェブサイトはワードプレスというウェブシステムで作成されているんだけど、ウェブ上にシステムがあるということはログインURL、ログインID、パスワードを知っていれば誰でもアクセスができてしまうということでもある。

実際下記がワードプレス運営者なら誰でも見たことがあるログイン画面で、ここにアクセスできればあとはユーザー名とパスワードを入力すればブログの乗っ取りが可能。ワードプレスによるブログシステムは意外に脆い。

そしてワードプレスのログイン画面のURLは意図的に変更しない限りは全て同じで(ウェブサイトアドレス/wp-admin)という感じになる。例えばガジェマガの場合は2week.net/wp-adminという感じ。

ログインページにアクセスされたところでユーザー名とパスワードがわからなければログインはできないんだけど、そもそもログインページにすらアクセスさせなければ乗っ取りの可能性は無くなる。どんな強固なロックよりカバーの方がバイクの盗難を防ぎやすいのと同じ。

ということでガジェマガはログインページのURLを変更しているんだけど、今回のブルートフォースアタックはログイン画面には到達してるから、URLの壁は突破されてた。マジで総当たりで攻撃してるっぽくてすごい。

ガジェマガのログイン失敗可能回数を3回に限定

ブルートフォースアタックは全自動でユーザー名とパスワードの総当たりを行う攻撃だから何度もログインを試行することが前提。つまり同じ人によるログイン試行回数に制限を設けてやれば対策が可能。

ガジェマガのログインページも対策済みで、ログインに3回失敗した場合はそのIPアドレスからのアクセスを一定時間遮断する。と同時に上で紹介したメールによる通知が行われて俺が攻撃に気付いたという流れ。

ガジェマガのログインページの入力情報の追加

ここまででブルートフォースアタックの対策はできているんだけど、実際の攻撃を目の当たりにして更に対策を追加することにしたのが下記。

ログインページにユーザー名とパスワードだけでなく簡易の計算結果の入力も必要にした。上の画像だと18+20だから38と入力しないとログインできない仕組み。この計算式は毎回変わる。

繰り返しになるけどブルートフォースアタックはプログラムによる自動攻撃だから応用が利かない。つまりワードプレスのユーザー名とパスワードを自動で入力出来ても計算まではできないから、これでより強固にブログを守れるというからくり。

ブルートフォースアタックの対策方法

ここまででブルートフォースアタックの話は終わり。ここからは具体的に対策しているプラグインとその設定方法を解説する。今全く対策していない人は参考にしてほしい。

All In One WP Securityをインストール

まずAll In One WP Securityをインストールする。(⇒ ダウンロード

ユーザーログインの設定

ダッシュボード左側にWPセキュリティの項目が出現するから、その中から「ユーザーログイン」を選択して下記を設定する。

  • ログインロックダウン機能を有効かにチェック
  • 最大ログイン試行回数を設定
  • ログイン再試行時間を設定
  • ロックアウト時間の長さを設定
  • 通知するメールアドレスを設定

総当たり攻撃の設定

次に左側メニューから「総当たり攻撃」(ブルートフォースアタック)を選んでログインページURLを任意の物に変更する。

これで設定を保存するとログインページのURLが変わってしまうから忘れないうちにお気に入りの登録を変更したい。

最後に同じく「総当たり攻撃」から「ログインCaptcha」タブを選択して「ログインページでCAPTCHAを有効化」にチェックを入れれば計算式の答えがログインに必要になる。

これで晴れてブルートフォースアタックの対策は完了。5分で終わる。

プラグインのアンインストールで設定解除も可能

ブルートフォースアタックを対策してしまうと怖いのが万が一自分が試行回数制限に引っかかってログインできなくなってしまった場合なんだけど、そんな時はFFFTPから直接プラグインを削除すればOK。

FFFTPは説明するとそれだけで一つの記事になってしまうから自分で調べてほしいんだけど、簡単に解説するとFFFTPを使えば自分が借りているサーバーのデータを直接管理することが可能。

つまりワードプレスのフォルダとかプラグインのフォルダがたくさん入っているから、All In One WP Securityのフォルダを直接削除すればいいだけ。

これによってブルートフォースアタックの対策が無効化されてログイン試行回数の制限が消えるからまたログインできるようになる。(⇒ FFFTPダウンロード

最悪の事態を避けるために

繰り返しになるけどブルートフォースアタックの目的は他人の名義だから、ターゲットは全自動で選ばれるし規模の大小を問わない。

犯罪の片棒を担がされる無駄なリスクを背負わないために、ワードプレスでブログを運営している人は稼げている稼げていないに関わらず必ず対策に取り組んでほしい。あとユーザーネームにadminを使っている人は推測されやす過ぎるから変更するのがおすすめ。

おすすめ記事(おもしろいやつ)

スマホ レビュー

2022/12/15

【Pixel 7 Proレビュー】最も理想的なAndroidスマホ

いつの間にかPixelシリーズの年一回の発売が恒例になり、Tensor搭載後はブランド力も獲得し、独自機能も増え、毎年のPixel発売が話題になるようになった。 そして今年も俺の手元には最新となるPixel 7 Proがある。ということで今年も今年のPixelはどうなのかをレビューする。 【結論】Pixel 7 Proはバージョンアップ版 先に結論から言ってしまうとPixel 7 ProはPixel 6 Proのバージョンアップ版に過ぎず、ほぼ変化がない。実際に使用感に影響する進化点は下記の2点のみ。 超 ...

デスク環境 パソコン・周辺機器

2024/2/19

【デスクツアー】デスクアイテム一覧と使ってる理由、感想【俺の一軍】

ガジェマガでは過去に色々な商品をレビューしすぎていて、 「で、結局今のお前は何を使ってるの?」 って聞かれることが多いから、ここではデスク環境周辺で俺が今現在使っている物と、それを使っている理由、感想を一言でまとめる。デスク環境構築の参考にしてほしい。 この記事では「俺の一軍シリーズ」として環境が変わるたびに内容を随時更新する続ける予定(最終更新2024年2月12日) デスク環境周辺で使っている物一覧 まず俺がデスク環境周辺で使っている物を一覧にすると下記。 クリックで感想にジャンプ デスク・椅子 Fle ...

ライフハック 買ってよかったもの

2023/4/20

【2021年版】生活が変わるガジェマガ式買ってよかったもの17選

いよいよ一人暮らしも9年目に突入していて、欲しいモノは一通り買ってしまった。これからも物欲は尽きることないだろうし、ガジェットに限らず様々な物を購入することになると思うけど、今後は足りないものを補うというより、今あるものをグレードアップする買い物が主流になると思う。 そんな満たされた生活の中でも、俺基準俺調べの買ってよかった商品を、生活に与えたインパクト順にランキング形式でを紹介したい。正直もっと早く買っておけば良かったと思うものばかりなので、まだ持っていないものがあれば急いで購入してほしい。 15位 黒 ...

スマホ レビュー

2023/4/19

【iPhone 14 Proレビュー】変化なし。最高品質の失敗作

iPhone14Proが発売されたのが2022年の9月。現在は2023年の4月。既に7か月が経過していてもう二番煎じどころの騒ぎじゃないぐらいレビューが遅れてるんだけど、こんなにテンションが上がらないスマホはなかった。 マジで13から変わってない。レビューの必要があるのか不明。でもせっかく15万も払って購入したんだからけじめをつける為にレビューする。 【結論】iPhone13ProのままでOK 最初にも書いた通りだけどiPhone14ProはマジでiPhone13Proから何も変わってない。だから今iPh ...

ライフハック 失敗談・コラム 感想

2023/7/9

【狭い家のメリットデメリット】6畳1Kに8年住んだ感想【一人暮らし

田舎の人が都会に引っ越す際に危惧するのは部屋の狭さなんだけどそれは間違ってない。都会は家賃が高いから広い部屋に住めない。 でもそれは悪いことばかりではない。寧ろ狭い部屋は快適だな。と渋谷区6畳1Kの家に8年住んで思う。ということで今回は俺が感じた狭い部屋に住むメリットデメリットを解説する。 狭い部屋の家賃だけじゃないメリット 狭い部屋は家賃が安い。これが最大のメリットなのは間違いない。 東京都の平均家賃相場は22万円 実際俺が住む東京都渋谷区は日本でもトップクラスに家賃が高いエリアで、2LDKとかを選んだ ...

俺の一軍 腕時計・スマートウォッチ・小物

2024/2/16

【ポケットと鞄の中身】身に着けてる物一覧と選んだ理由、感想【俺の一軍】

ガジェマガでは過去に鞄はいらないとかポケットを活用しろとかスマホはこれ使えとか有線イヤホンは使うなとか色々なことを言いすぎていて、 「で、結局今のお前は何を使ってるの?」 って聞かれることがたまにあるから、ここではポケットと鞄の中身と、ついでに小物類、衣服、靴などなど俺が日常身に着けてメイン利用している物と、それを使っている理由、そしてその感想を一言でまとめていく。ポケットと鞄の中身の参考にしてほしい。 この記事では「俺の一軍シリーズ」として環境が変わるたびに内容を随時更新する続ける予定(最終更新2024 ...

メンズ美容・健康 失敗談・コラム

2024/2/16

【口コミ】ゴリラクリニックヒゲ脱毛で30万円提示された話【高すぎ

髭いらねーって思って髭の永久脱毛に手を出そうとしたんだけど、ゴリラ脱毛のカウンセリング価格が想像以上に高くて、ネットでの値段の記載方法が悪質だと感じたので今日はその件を書きたい。 毎日髭剃るのめんどくさい みんなもそうだと思うけど、朝起きて仕事行くまでの時間は戦争だ。なぜなら俺はなるべく寝ていたい!むしろ起きたくない!でも社会人なので流石に会社に遅刻するわけにもいかず、毎日生きるためにゾンビ顔負けの死んだ表情で通勤しているのが実情だ。 そんな社会人にとって朝の時間は貴重だ。歯を磨いて顔を洗って髭そって朝ご ...

DIY ライフハック

2024/2/16

【ベッド拡張DIY】シングルベッドをセミダブルにした話【ニトリ】

一人暮らしだからと言ってシングルベッドに拘る必要があるだろうか、いやない(反語)。ということに一人暮らし10年目にして気づいたからベッドを拡張することにした。 いつの間にか6畳1Kの限界に挑むのが俺の生きがいになりつつあるんだけど今回は多分その集大成にして頂点。色々取り組んできた部屋改善は多分これで終わりになる。 ということで実際にベッドをどう拡張したのか、6畳でベッドを大きくして快適になったのか、生活に支障は出ないのかを解説したい。 6畳1Kの限界に挑む 繰り返しになるけど俺は10年間6畳1Kの激狭物件 ...

ライフハック 俺の一軍

2023/4/1

【ルームツアー】家で使ってる物一覧と選んだ理由、感想【俺の一軍】

ガジェマガでは過去に色々な商品をレビューしすぎていて、 「で、結局今のお前は何を使ってるの?」 って聞かれることが多いから、ここでは俺の家で今現在使っている物と、それを使っている理由、感想を一言でまとめる。住環境構築の参考にしてほしい。 この記事では何か環境が変わるたびに内容を随時更新して俺の1軍をまとめる続ける予定(最終更新2022年11月10日) 家で使っている物一覧 まず俺が家の中で使っている物を一覧にすると下記。 クリックで感想にジャンプ リビング環境 壁美人 テレビ ChromeCast Fir ...

DIY ライフハック 感想

2023/7/9

【壁掛けテレビの理想と現実】壁美人を3か月使った感想【賃貸】

賃貸でもテレビを壁掛け出来るのに原状復帰までできてしまう壁美人を導入してから早3カ月。まだテレビは一度も落ちていない。 とはいえ720個ものホチキスで取り付けるのってどうなの?とか、テレビを壁掛けにした不便はないの?と買いたいけど二の足を踏んでいる人は多いはず。 という仮定の下で壁美人を実際に3か月使った感想を書いていく。記事の内容的に楽だからという理由ではけっしてない。 壁美人はホチキスで壁に取り付け 壁美人の紹介記事でも書いた通りだけど、壁美人は720発ものホチキスで壁に取り付けることで25キロまでの ...

-ブログを書くコツ

Copyright© ガジェマガ , 2024 All Rights Reserved Powered by AFFINGER5.