ChannelK

今日を――生き残れ。

Flower

変わる不正アクセスのパターン。


スクフェスのイベント期間中は毎回アクセス数が伸びるのですが、今回はとあるblogさんにボーダー一覧表のエントリがリンクされて通常のアクセス数が倍くらいになっていたりします。とはいえ、某ニュースサイトさんにリンクされた時に比べれば1/20以下なので鯖にも全然余裕があるのですが……。

今回の件はそれについてではなく。
いつものごとくlogwatchが整形してメールで送ってくれるレポートとNewStatPress、Wordfenceで日々のアクセス状況は確認しているのですが、今回気になったのはwordpressの管理ページへの不正アクセスのパターンが変わった点。

管理ページへの不正アクセスといえば、「admin」「administarator」「adminadmin」など定番フレーズやしばらく前から出始めた「ドメイン名」をユーザー名としてアクセスしてくるものが定番だったのですが、今日確認したのは「投稿ユーザー名」をログインに使ってくるパターン。当然のことですが投稿ユーザーは有効なのでパスワードが合致すればログインに成功してしまいます。

もちろんWordfenceで制限を掛けているのでパスワード総当たりをされても合わなければロックアウトするだけなのですが、不正アクセスしてきたIPだけでなく管理者の自分まで弾かれては仕方ありません。時間を掛けて総当たりされればパスワードは割られてしまうわけで、これはきちんと対策しておかなければなりません。

というわけで、一番手っ取り早く行える方法としてwp-admin以下に.htacceessを別途置いてホストによるアクセス制限をサクッと追加。WordfenceのBlocked IPsを見て、こんなに引っかかってるよとニヤニヤすることはできなくなりますがこればかりは仕方ないでしょう。

ちなみにここ2ヶ月でログイン失敗でロックアウトされたIPは1430ほど。ロックアウトされた後に500回以上再び不正アクセスを試みたIPも中にはありました。httpdの膨大なアクセスログをいちいち確認するのは面倒ですから、logwatchやwordfenceのようなツールは非常に便利です。

Tags: , , ,

Comments are closed.

Optimization WordPress Plugins & Solutions by W3 EDGE