WordPressでの
不正ログイン対策について

不正アクセスログリスト（画像をクリックすると拡大表示されます）

左の画像（画像をクリックすると拡大表示されます）は、管理画面への不正アクセスリストの一部である。

ご覧いただいておわかりの様にadminというユーザー名でのアクセスが多い。これは、wordPressインストール時に何もしなければadminというユーザー名で管理者アカウントが生成されるからである。

では、具体的にどのように、こういった不正アクセスのログ（記録）を取得するのか？

all in one wp securityというプラグインでは、ログインエラーの状況だけではなく、さらにログインしたユーザーも確認できるので、実際に不正アクセスが実行されてしまった事も確認できる。似たようなログを取得するCrazy Boneというアプリがあるが、これは更新何年もされていないようなのでオススメしない。

こういった不正アクセス対策として、
何を実行すべきなのかをリストにしてみた。

1. 管理画面に不正アクセスをさせない。
   → ログインURLのカスタマイズ。※以下に設定のフローを記載。
2. 不正アタックがあっても簡単にログインをさせない。
   → Login Lock Downと呼んでいる「一定回数ログインに失敗した場合、アクセス元のIPアドレスを一定時間プロテクトする」機能を設定にする。※以下に設定のフローを記載。
3. 不正アタックが継続して多数ある。
   → そのアクセス元IPアドレスをブラックリストとして登録して、登録されたIPからのアクセスを遮断する。*（アスタリスク）を使用して、一定の範囲のIPアドレスをブロックする事も可能。※以下に設定のフローを記載。
4. スパムアタックのユーザー名にadminが多い。
   → ユーザー名 admin を使用しない。もし、初期設定してしまった場合、別のユーザー名に変更する。もしくは、adminを全く権限のないアカウントにする。どうしてもIDとしてadminが必要な場合、難易度の高いパスワードを設定する。
5. ログインIDを知られないためにも、ユーザーのニックネームを設定する。初期状態では、IDがそのままユーザー名として使用されるので注意が必要です。つまり、対策をしていない初期状態ではサイトにログインIDを公開している状態なのです。
6. ログイン画面に、ユーザー名とパスワード以外にも、簡単な計算（計算して正しい数字をいれないとログインできない）などを設置することも大きく有効です。これをログインキャプチャと呼んでいます。
7. パスワード再設定リンク、つまり「パスワードをお忘れですか」のリンク先にも上記と同じ方法のログインキャプチャを設置すると有効です。つまり、登録ユーザーのメールアカウント自体がハッキングされている事を想定する必要もあります。

上記以外にも、顧客向けに対策したのは、

• コメント無効化や不正コメントdbと連動したコメント投稿システム
• Pingback機能の無効化。
• DBのPrefixのカスタマイズ（初期状態ではwp_になっている）。
• htmlソース内のwordpressバージョンを非表示にする。
• 新規ユーザー登録を手動承認とした。
• dbデータ解読難易度をあげる取り組み。
• dbのテーブル接頭辞をwp_ではないタイプに変更。
• wpに初期状態で配置配置されているファイルへのアクセス不可。
• 管理画面からシステムファイルの編集を不可。
• XML-RPC、RSS/ATOMへのアクセス不可。
• 直接404アクセスとなるアクセス元に制限。
• ハニーポットというロボットアクセス対策。

といった対応をしました。