WordPressサイトが狙われ続ける(Google二段階認証でセキュアに)

GoogleAuth先日、当サイト、及び私が関与しているWordPressで稼働しているサイトは、全て「Google Authenticator」というプラグインを使って、Google二段階認証サービスを連携させてしまいました。

クライアントのサイトはもちろんクライアントのスマートフォンにアプリをインストールして頂いて、Google認証システムのコード生成を導入していただいたのですが、自分で運用している複数サイトにそれぞれGoogle認証システムのコード生成をもたせていると、ジェネレーターの管理がめんどくさくなって来ました。どのサイト用だったっけな?と迷うんですよね。

いっその事、自分専用なんだから一つで良いんじゃね?って思ったので、Google Authenticatorの設定にある、「Secret」という項目に着目しました。Create New SecretというボタンをクリックするとSecretコードが生成されます。これを鍵にしてGoogle認証システムを利用しているものだと推測しました。まだこのレベルのソースコードは読めないので実際に検証してみるしかないですね。

続きを読む

WordPressサイトのadminアカウント狩り

WordPressを良く使っている身としては嫌なニュースを読みました。特にデフォルトユーザー名「admin」のまま使用しているWordPressサイトが狙われているそうです。

全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている | TechCrunch Japan

ちなみに私のサイトはadminというユーザー名は使っていません。更に表示名も私の名前にしているので表示名でアタックされてもそのユーザー名は存在しません。その点では少し安心です。

辞書にも無いハズの造語をユーザー名にしているので辞書アタックでも多分大丈夫です。しかし、総当りでこられるといずれクラックされてしまう可能性はあります。

続きを読む

New Relicを使ってみる

インフラ系エンジニアとして食っている立場上、押さえておくべきだろうなと思ったので実際に自分の管理サーバーでパフォーマンス監視ツールを使ってみる事にしました。

ちょっと調べれば分かる事なので記しちゃいますが、当サイトは現時点VPS上のLinuxサーバーで稼働させています。普通にこうやって記事をPOSTしたり、実験的なWebサービスを公開したりする分には特に不自由もなく、レスポンスも許容範囲内に収まっていると感じているのですが、実際の数値を見てみたくなった為です。

色々有ると思いますが、サーバーパフォーマンス監視サービスとして定評のある「New Relic」の無料版を使ってみる事にしました。無料版の範囲でも充分参考になるデータが取れます。

New Relic対応OS

New Relic対応OS

上図の画面キャプチャの通り、Linux(deb系、rpm系、その他)と、Windows 2003 / 2008 Serverに対応しています。インストールはオフィシャルの手順に従って行いましたが、さほど難しくありませんでした。ネット上に日本語のインストール手順が無いのは、まぁそういうもんだなって感じです。(公式の手順は簡単な英語だし、特殊なインストール手順では無いので頑張りましょう)

当サイトでは、Web系は主にPHPとMySQLを使っているので、PHPしか監視していません。Pythonは今後積極的に使っていきたいと思っていますが現時点は計測する程の事も無いのでパスです。Rubyは個人的にはあんまり好きじゃないので後回しです。

現時点、このサービスの対象プラットフォームは下記の通り。

  • Ruby
  • PHP
  • .Net
  • Java
  • Python
  • iOS
  • Android Apps

これだけ対応していますので、ほとんどのサーバーアプリケーションの処理速度とか、ページ毎の処理の遅さとかを追跡するには充分ではないかと思われます。レスポンスが遅いページはソースコードを要見直しですね。

akismetによるスパムフィルタリング

akismetによるブロック数当サイトを運営し始めてからもう半年ほどになりました。サイトの性質上色々な情報を掲載しているので、コメントスパムが非常に増えて来ました。ま、これは逆に言うとそれだけネット上で目にされる機会が増えたという事の現れでもあるので、嬉しい事でもあります。一種のバロメーターですね。

当サイトでは、CMSとしてWordPressを使っています。WordPressはブログシステムとして有名ですが、ブログ用途だけでなく、コーポレートサイト等にも対応出来る柔軟性を持っています。そして標準装備のプラグイン「akismet」がコメントスパムに対して非常に有効なのは今さら言うまでもありませんね。

当サイトには、参考情報として見ていただくために、敢えてakismetでブロックしたスパムの数を表示させています。約半年運営して134件という数は多いか少ないか分かりませんが、今のところakismetによるSPAMブロック率は100%で非常に信頼性が高い事を裏付けています。

私にとってakismetの利用は、当サイトだけではありませんので、当サイトだけで評価しているのではありません。非常に強力なスパムフィルタですので、スパムに悩まされているのであれば、導入を検討する価値は充分にあります。