WordPressのAdminアカウントへのアタックが未だに続いています。
WordPressにはログイン履歴を残すプラグイン、「Crazy Bone」という素晴らしいアプリがあります。ログイン成功、失敗、ユーザー名が存在しないなどのログを残してくれますし、失敗したパスワードも残してくれています。
ここいらでちょっと傾向をみたくてSQLからエクスポートして、UNIQしてみました。結果的にはアカウント名は全て「admin」でアタックされていて、パスワードは色々なパターンで何度もアタックされているので、パスワードだけソートしてユニーク抽出してみました。
パスワードのユニーク抽出で495パターンありました。ロシア語みたいなのは文字化けしちゃったので要らないかなと思って削除しました。当サイトには「admin」というアカウントは最初から作っていませんし、ワンタイムパスワードの二段階認証にしているのでそう簡単には突破されないと思います。もちろんWordPressの脆弱性なんかを突かれると防御出来ない可能性もあるので、アップデートには追従していかなくてはなりません。
WADAXレンタル・サーバー(共用プラン)をお使いのクライアントさんから、WordPressのバージョンアップが出来ないという内容でご相談を受けました。ドメイン名からサーバーの環境を調べてみたところ(WADAXはサーバー番号毎の環境を公表しています)、MySQLがバージョン4系で古い為にWordPressのバージョンアップが追従出来なくなってしまった事が判明しました。
実際にWordPressにログインさせて頂いて確認もしましたが、やはりMySQLのバージョンが古いのが原因だと判明しました(エラーメッセージにて確認)。オープンソースのCMSでバージョンアップに追従出来ないのは、脆弱性を抱えたままの運用になるのでで問題です。
それとログイン時に判明したのは、WordPressのアカウントが今話題になっている「admin」だったことです。WordPressの「admin」アカウントがアタックを受けてる事もあり、その辺りからご説明し、早急にadminアカウント名を変更し、更にGoogle認証の仕組みを利用するプラグインを導入し、Androidスマートフォンでワンタイムパスワードを生成して毎回ログイン時に通常のパスワード+ワンタイムパスワードを入力していただくように対策しました。幸い入られた痕跡は無さそうですがここも、移行テストの段階でチェックしておかなくてはなりません。
さて本題のWADAX共用サーバーの引越しです。
私はWeb系の事業を行う会社でシステム寄りの仕事をしていた事もあるので、WADAXは使ったことがあります。その経験も踏まえて比較的親切なレンタル・サーバーだと評価しています。
今回課題となるのは「共用サーバー」という点です。共用サーバーというのは、住宅で例えればアパートとかマンションの様なものです。外壁が古いから改修工事とか、鉄骨をもっと頑丈なものに変えたいとか、免震構造にしたいとか、そういう事が一軒家の様には自由に出来ません。厳密には出来ないというよりは、居住者の意見が完全一致する事はまずあり得ないのでそういう事は不可能でしょう。
現実問題としては、新しい建物に引っ越すことになるのですが、これがWADAXで言うところの別のサーバーへの移行という事になります。住宅で言えば新しく建築された最新の建築構造をしたアパートやマンションへ引越しという事ですね。
WordPressでテーブルタグを使うと罫線が表示されないから不便だという話を耳にしましたので、それについて触れてみたいと思います。
ちょうど先ほどVPSの比較用にExcelで表を作ってそのままWordPressに貼り付けたTABLEタグがあります。私が使ってるWordPressテーマでの定義では下の様な表になりました。私はこれで別に不満はありません。
| プロバイダ | CPU | メモリ | ディスク容量 | 初期費用 | 月額料金 | 年契約の月額料金 |
| WEBKEEPERS スタンダード | 保障1コア×13% | 1GB | 80GB | 0 | 980 | 780 |
| FC2 VPS スタンダード | 保障1コア×13% | 1GB | 20GB | 0 | 980 | 780 |
| さくらVPS | 仮想2コア | 1GB | 100GB | 0 | 980 | 980 |
| GMOクラウドVPS | 仮想3コア | 2GB | 100GB | 0 | 980 | 980 |
実際にExcelからコピってきた表のHTMLソースコードは下記の様になります。相変わらずTABLEタグはウザいですね。TABLEタグって読みづらくて非人間的な構造だと私は思うので、無くなればイイのにと思います。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
<table width="731" border="0" cellspacing="0" cellpadding="0"><colgroup> <col width="222" /> <col span="5" width="72" /> <col width="149" /> </colgroup> <tbody> <tr> <td width="222" height="18">プロバイダ</td> <td width="72">CPU</td> <td width="72">メモリ</td> <td width="72">ディスク容量</td> <td width="72">初期費用</td> <td width="72">月額料金</td> <td width="149">年契約の月額料金</td> </tr> <tr> <td width="222" height="36"><a href="http://jp.webk.net/service/vps_windows.html" target="_blank">WEBKEEPERS スタンダード</a></td> <td width="72">保障1コア×13%</td> <td width="72">1GB</td> <td width="72">80GB</td> <td align="right" width="72">0</td> <td align="right" width="72">980</td> <td align="right" width="149">780</td> </tr> <tr> <td height="36"><a href="http://fc2-vps.com/">FC2 VPS スタンダード</a></td> <td width="72">保障1コア×13%</td> <td width="72">1GB</td> <td width="72">20GB</td> <td align="right" width="72">0</td> <td align="right" width="72">980</td> <td align="right" width="149">780</td> </tr> <tr> <td height="18"><a href="http://vps.sakura.ad.jp/">さくらVPS</a></td> <td>仮想2コア</td> <td>1GB</td> <td>100GB</td> <td align="right">0</td> <td align="right">980</td> <td align="right">980</td> </tr> <tr> <td height="18"><a href="http://vps.gmocloud.com/">GMOクラウドVPS</a></td> <td>仮想3コア</td> <td>2GB</td> <td>100GB</td> <td align="right">0</td> <td align="right">980</td> <td align="right">980</td> </tr> </tbody> </table> |
WordPressのデフォルトアカウント「admin」が狙われているという件で、当サイト及び私が携わっているWordPressサイトは全て、Google Authenticatorによる二段階認証に対策したのですが、面白いプラグインが話題になっているのでインストールしてみました。
WordPress › Crazy Bone « WordPress Plugins
機能としてはログイン履歴が残せるというものですが、ブルートフォースアタックの記録も残すらしいので、どれだけアタックを受けているか観察する意味と、純粋にログインログを残すという意味とで使ってみようと思った次第です。
使い方は簡単で、インストールして有効化するだけ。そうするとメニューの中に、「ユーザー>>ログイン履歴」という項目が増えてます。ここから全てのアカウントのログイン履歴を確認したり、任意のアカウントだけを表示させたりできます。日時、IPアドレス、ユーザーエージェント、OSの種類が記録されているみたいです。IPアドレスの割り当てから国旗アイコンを表示したり、OSのアイコンだったり、ブラウザのアイコンだったりして一目瞭然な配慮がにくいです。このプラグインの作者は日本人の様です。
一応、MySQL側をチェックしてみたところ、「wp_user_login_log」というテーブルが増えていました。ログ情報がまさにここに記録されているので、MySQLのテーブル構造的には「wp_usermeta」へごちゃまぜに記録されるよりは良かったと私は思います。めちゃめちゃ件数が増える可能性がありますからね。
前述の通り、既に二段階認証にしているので、ボット側がそれを避ける仕組みだと、当サイトにはアタックして来ない可能性はあります。しばらくこのまま運用して様子を見たいと思います。なんにしても様子が見える仕組みはできるだけ入れておいた方が良いと私は思っています。
WordPressでGoogle二段階認証システムのコード生成ツールを活用する為のプラグイン「Google Authenticator」を導入する方法はネット上に沢山あります。日本語の情報も沢山あるので導入の手順等については今更記すつもりはありません。
1つだけ多くのサイトを読んだだけだと誤解してしまう点があるので先々の自分の為にも補足的にコメントしておきます。