自分、スパイ映画が好きなので、よく見ます。
「ダイ・ハード4.0」、「007 スカイフォール」、「ドラゴン・タトゥーの女」、「ボーン・アルティメイタム」、、
本題からそれるのでこの辺で、、、
ある晩、お布団に入って思いました。
自分のblogが国際シンジケートのハッカーに狙われないかと。。
「ヤバい、管理者ログインページ、だれでも行けるじゃん」
寝てる場合じゃないです。飛び起きて調べました。
自分は「WordPress」を使っています。
無料とは思えない優れたコンテンツマネジメントシステム(CMS)ですよね。
有料版もあるとはいえ、「ここまで無料で出来ますか?」って思います。
IT知識がない自分でもblogを書くことができるのはこのCMSのお陰です。
「WordPress Foundation(https://wordpress.org/)」には感謝しかないです。
ただし、管理は自分でやらなければいけません。
「まぁ、オレは大丈夫でしょ」
ダメです。国際シンジケートは怖いです。映画見たでしょ。。
初心者が気にしたこと
初心者である自分が、仮に、”自分は初心者.com”ドメインを取得して、
そのまま「WordPress」でblogを立ち上げたら、
管理者ログイン画面のURLは ” https://自分は初心者.com/wp-admin ” になります。
※注意:URLは架空のものです。
デフォルトだと、管理者ログインのPathは /wp-admin/ になるんですよね。
あと、blogページに、メタ情報の項目がある場合は、
「ログイン」から管理者ログイン画面へ行けます。
初心者が怖がったこと
ハッカーの皆さんはログイン画面って大好物だと思うのです。
スパイ映画に出てくる、パスワードを数うちゃ当たるプログラムで
バーて総当たり攻撃するやつとか持ってると思うのです。
だから、簡単に管理者ログイン画面の場所が分かるのは良くないと考えました。
※とは言っても、推測可能なIDやパスワードを設定しなければ、問題は少ないと思います。
自分は、セキュリティ意識が低いので、いい機会になりました。
以下、管理者ログイン画面に対して、実施可能な攻撃方法
出典:情報処理推進機構(https://www.ipa.go.jp/security/txt/2008/10outline.html)
ブルートフォースアタック「総当たり攻撃」
特定したIDに対して、パスワードを変えながらログインを試みる手法です。
リバースブルートフォース攻撃
特定のパスワードに対して、IDを変えながらログインを試みる手法です。
パスワードリスト攻撃
攻撃者がどこかで入手したID・パスワードのリストを用いて、不正アクセスを試みる手法。
ID・パスワードの組み合わせを流用している場合、その情報がばれると、芋づる式に他のアカウントへアクセスされます。
初心者の対策方法
管理者ログイン画面を簡単にアクセス出来ないようにしました。
具体的には下記の2点を実施しました。
(1)プラグイン「login rebuilder」をWordPressへ導入した
(2)メタ情報を非表示にした
(1)(2)のやり方は、WEBで検索すれば見つかります。
※注意
この対策を行うと、管理者ログインURLを忘れたときにアタフタします。
忘れないようにログインURLを管理しないといけませんね。
対策を設定するときにはまった事
「(1)プラグイン「login rebuilder」」を導入する際に、新しい管理者ログインURLが有効にならず、苦労しました。
原因は、レンタルサーバー側のセキュリティ設定にありました。
新しい管理者ログインURLを、ディレクトリトラバーサル攻撃と検知し、プラグインが有効化しない、ことでした。
サーバーの頼もしさを感じる一方で、原因を理解するのに時間がかかりました。。
何事も勉強ですね。
コメント