ブロガーでもできるWordPressへの不正アクセス対処・事例紹介
今回は遠路はるばるドイツから不正アクセスして来た方がいたので、それに対する対処法として事例を細かく、詳しく紹介いたします。プラグインの力があればブロガーやセキュリティの知識があまりなくても対応できますので、ぜひ方法の一つとしてやってみてください。かなり優しい&易しい対処法です。
不正アクセスの予兆に気づく
少し前2018年8月頃から不思議なページ「h/9528619.html」へのアクセスが有ることを、アクセスログから確認していました。いわゆるリファラースパムと呼ばれるものであることが分かっており、2018年10月18日現在、Googleアナリティクスでフィルターをかけてアクセス解析を覗かれないようにできます。ここで危険なアクセス元として対処事例にします。
リファラースパムへの対処方法はこちらが詳しいです。Googleアナリティクスでのフィルターの設定方法も書かれていますので、おすすめ。安全なサイトです。
What is seo-services-with-results.com and how do I filter it?
「h」という名前のフォルダは私は置いていないので、まぁ、踏み台か何かにしようとしてアクセスしてきているみたいですね。確認した所、隠しファイルとしても存在せず、書き込みもされていないみたいです。
怖い方は同じフォルダ、同じファイル名のファイルを作成してアップロードし、GPS抜くようなスクリプトを潜ませておけば、犯人の情報を確実に抜けます。ファイル名が分かる当たり、このサイバー攻撃者はそんなに…、だと思います。まぁ、ブロックで良いでしょう。通報はしますが。
ブロガーの自己責任
ブロガーたるもの数千人、数万人にコンテンツを提供しているわけで、もしあなたのサイトが乗っ取られていたら、アクセスしてきた多数の方々に迷惑がかかる(あなたのサイトを訪れたユーザーの個人情報が全部漏れるとか)ので、セキュリティ設定をして、サイトを一つ一つ管理し安全面に留意しなければいけません。
収益や自分の利益だけのために、サイトをいくつも運用していても不正アクセス対処していなければちょっと無責任です。そういう量産サイトこそサイバー攻撃者の的になりますので、目先の利益、自分の収益の分散化のため、とサイトをいくつも作っても責任が持てないならば、その行為は間接的に悪になります。
対処事例
GoogleAnalyticsで変なアクセスを確認
前述のファイルにアクセスしてきていた都市名を「ポーランドのMyszkow」という場所だと確認しました。他の場所を追跡しているとブラジル、ドイツなどからもこのアクセスが有りました。
またまた遠いところから、頑張ってきてくれているんですね。温厚な土地柄に思えて、ポーランドの周辺、東欧は不正アクセス攻撃者がIP偽装や隠れ蓑に利用することが多いところですので、本来は国ごとこの地域はブロックしておくのが基本です。危険地域の特定のために開いておくのもありです。
iTheme Securityがロックアウト
404ページへの不正アクセスをしてきたアクセス元をプラグイン「iThemeSecurity」が自動でロックアウトしてくれます。ロックアウトまでのアクセス数、タイミングはそれぞれ決めることができます。たいていIP偽装して攻撃してきます。
大元のIPアドレスは諸事情により載せないですが、こうした場所をIPアドレス中継地点にして、不正アクセスしてくるのです。アメリカのヒューストンやシアトル周辺からの不正アクセスも非常に多く、あちこちIP偽装してアクセスしてきてます。
非常によろしくないのが、ロシアやアメリカは中国や東欧を偽装IPアドレスとして、そういう地域、ITに少し疎いような場所を選んで攻撃してきてますので、結局はアメリカやロシアにサイバー攻撃者がいることが多いですよ、本当に。
アクセス元の国を特定
今回は、ドイツ、ポーランド、ブラジルを危険なアクセス元として国ごとブロックします。以下のサイト様などでも調査してくれていますが、個人でリストを取得するのも良いでしょう。こうしたセキュリティ部分は、たいてい自作して、システムに組み込んでIP割当が変わっても、自動で割り当て変更に即時対応できるようにします。
WP-banでアクセス拒否
プラグイン「WP-ban」を使用して、この国に割り当てられているIPアドレスを全て拒否します。このIP割当が変更になってしばらくは、どこの会社も1週間、2週間対応が遅れる上、サイバー犯罪車もその混乱に乗じて不正アクセスをかけてくることが多いです。
今回は10月10日あたりにIP割当の変更があったようなので、定例の不正アクセスのようなものでしょう。
このプラグインの「Banned IPs」にアクセスを拒否する国に割り当てられたIPをダーッと貼り付けます。貼り付けるだけで良いです。しばらくはこれで静かになりますが、今度はアクセスしてくる国が変わって、必ず何度か攻撃を仕掛けてきますので、ここからはセキュリティとのイタチごっこのスタートです。私はネチネチいくの大好きなので、むしろかかってこい、と。
嬉しいのもありますよね、普段パソコンの前で誰とも話さずに仕事してても、こうして同じ分野の専門知識を持つもの同士で言葉も何もつながらないところで、お互いに存在は示しあえているなんて。まるで星間通信とか、エイリアンとの交信みたい。
AguseでIPを調査
不正アクセス元のIPアドレスの逆引きホスト名は「blex-crawler3.webmeup.com」というものでした。クローラーという名前ですが、あちこち見て回るわけでもなく、存在しないHTMLファイルだけを見に来るというクローラーらしからぬ動きをするやつです。他にも「seo-services-with-results.com」というホスト名で不正アクセスしてきているものもありました。
このホスト名もアクセス禁止にします。プラグイン「WP-ban」でも「iTheme Security」でもBAN設定できるので、もうアクセスしてこないようにブロックしましょう。
CBLでブラックリストにあるか確認
以下のようなCBLというようなところにブラックリストとして登録されているか確認し、まだ登録されても、報告されてもいなければ、新手の不正アクセス攻撃でしょう。こういう事例は集積して、大元を排除します。現地警察への通報、関係した機関への事実関係の確認などを通して最終的に法的に処断されます。
イタチごっこの始まり
サイバー攻撃は相手の所在を確かめて、ブロックしたらそこからがいたちごっこになります。このへんは自動でやらせても良いですが、たいてい不正アクセスじゃないIPもブロックし始めるので、自動に頼っていると大切なアクセスも失います。
404ページをブロックする自動化は、数分のうちに何回不正アクセスしてきたかによってブロックするものが多いため、このフィルターにかからないよう、10分に1回というのんびりとした不正アクセスを繰り返すBotも当たり前になっています。デフォルトの不正アクセスは1分に40回とかじゃないと反応しなかったと思うので、一時的に1時間に5回とかにするとだいたいの不正アクセスは全部はじけるんじゃないでしょうか。
Botのアクセス数はこんな感じ
あなたのWordpressやブログに訪れてきているBotやクローラーはたくさんあります。GooglebotやBingbotなど来ても良いものもありますが、来ないで欲しいBotも結構巡回してきています。こういうBotのアクセス数もアナリティクスが拾っている場合は、あなたのサイトのPV数はあてにはならないこともあります。
アクセス数と転送量はこんな感じです。その他のロボットだけでも2507件、転送量が193とGooglebotよりも多い転送量だなんて、サーバーに負荷がかかりまくりですね。この分を他の一般ユーザーのために開放するのも、サイト管理者の仕事で、セキュリティの仕事でもあります。
たまに、このBotのアクセス数をサイトのPVに含めて、まるでサイトにたくさんアクセスが有るかのように発言してイキっているブロガーを見かけますが、それは詐欺行為に当たりますので、言ってるだけなら別にいいですが、それで集客してたら犯罪です。無知でやってても犯罪です。
代わりにセキュリティしますか?
もし、あなただけではセキュリティができそうにない、不正アクセス検知して、それを除外するなどの設定までやっていられないという方は「依頼」ということになりますが、私でも対処はできます。たぶん依頼はないと思いますが、どうしようもなく困った時はTwitterのDMまでどうぞ。
サーバーでもセキュリティ設定を
あなたのブログやワードプレスが入っているサーバーでも、WAFなどの設定ができます。できるだけこれらのセキュリティ設定はONにしておきましょう。ものによってはプラグインがうまく動かなくなるようなセキュリティ設定もありますが、やっておけば乗っ取り似合うことはないでしょう。
プラグイン「SiteguardJP」だけでは、セキュリティ対策は足りませんので、自己責任として、サイト管理者の管理責任としてちゃんと設定しておきましょうね。常駐するのは大変ですが、かなりの時間見ていないとちょっとした不正アクセスや異変に気づかず、気づいた時には乗っ取られているなんてこともよくあります。お気をつけて。