LoginSignup
apppnedty
@apppnedty

Are you sure you want to delete the question?

If your question is resolved, you may close it.

Leaving a resolved question undeleted may help others!

We hope you find it useful!

WordPressに不正にログインしようとした形跡があり困っています

Q&A

WordPressセキュリティ対策ワードプレスWordPressプラグイン

解決したいこと

ワードプレスの管理画面へ不正アクセスを試みて失敗している記録が残っています。
ログイン可能かどうかを試されたくないので、ログイン画面に入られないようにしたいです。

発生している問題

デフォルトのログインアドレス「wp-login.php」ではなく適当な文字列にしています。
(適当な文字列のアドレスの例 https://XXXXX.com/asgLdk5dSfFg)

それでもログインページのアドレスがバレてしまっているのか、
セキュリティのプラグインの記録で不正アクセスを試みて失敗している記録が残っています。
原因はわかりますか?
また他にやったことが良い事や対策方法があれば教えてください。

様々なIPからアクセスしようとした形跡がありますが、
特に多いのが「googleusercontent.com」です。
海外の方もアクセスする想定のサイトなので、
外国からのアクセス遮断みたいな対応は出来無さそうです。

自分で試したこと

使用しているプラグインは「All In One WP Security」です。
以下の設定もプラグインを使用しています。

●左メニュー「ファイアウォール」の「Basic firewall」を有効にしています。
●ディレクトリとファイルの一覧表示を無効化しています。
●ログインページのアドレスを変更しています
●5分間で数回ログイン失敗すると暫くブロックする設定にしています。
●「admin」などの単語を含むIDでログインしようとすると即ブロックする設定にしています。
●「wp-admin」にアクセスしてもエラーが出る設定にしてあります。
●念のため複数ログインに失敗しているIPはブラックリストに入れていますがキリが無さそうです。
●60分経つと強制的にログアウトします。

気になる設定に「Cookie based brute force login prevention」というものがありますが、
説明を読んでも難しく、問題が発生するのが怖くて触れていません。
他に設定したほうが良い項目があれば教えて頂けると助かります。

 
サーバーはエックスサーバーを使用しています。
エックスサーバーのサーバーパネルメニューにある
「WordPressセキュリティ設定」は全てONにしてあります。
念の為ONにしてある設定を表記しておきます。

●ダッシュボード アクセス制限
●XML-RPC API アクセス制限
●REST API アクセス制限
●wlwmanifest.xml アクセス制限

 
アカウントのパスワードは10桁以上で複雑なものにしている為
破られることはそうそう無いと思いますが、
使用者にはパスワードはこまめに変更するよう指導しています。

ワードプレスを使用したサイトの作成が3度目で、
ここまで不正アクセスをしようとした痕跡の出るサイトは今回が初めての為
これ以上どう対処すれば良いのかわかりません。
よろしくお願いします。

0

2Answer

jinbei230525
@jinbei230525

管理画面へのアクセス元を一つのIPアドレスやネットワークセグメントに制限することはできないでしょうか?

管理画面へアクセスするIPアドレスが判明していれば、該当するIPアドレス以外のアクセスを制限することができるのではないでしょうか。

1Like

Comments

  1. @apppnedty

    Questioner

    回答ありがとうございます。
    特定のIPのみ許可する方法を調べましたら該当するものがあったのですが
    わからない点がありました。

    <FilesMatch "wp-login.php|wp-admin">
Order deny allow
Deny from all
Allow from xxx.xxx.xxx.xxx
Allow from xxx.xxx.xxx.xxx
Allow from xxx.xxx.xxx.xxx
Allow from xxx.xxx.xxx.xxx
</FilesMatch>

    「wp-login.php」「wp-admin」にアクセスした場合と想定しているようですが、プラグインでログインページのアドレスを変更している場合もこのままの記述で大丈夫なのでしょうか?
    また、この記述で問題は無さそうでしょうか。

    もし分かるようでしたらご返答頂けると助かります。
    (.htaccessに追記するもののようです)
     

    参考にしたサイト↓
    https://takayakondo.com/login-admin-ip-restriction/

  2. @jinbei230525

    管理画面のURLを変更しているのですよね?

    その場合は、変更したログインアドレスを記載することになります。

  3. @apppnedty

    Questioner

    一度試してみます。
    再度の回答ありがとうございました。

  4. @jinbei230525

    こちらのアクセスを制限する方法はWebサーバがApacheの場合となりますが、使用されているWebサーバはApacheでしょうか?

  5. @apppnedty

    Questioner

    エックスサーバーの仕様を確認した所、apache 2.4.x、nginx とのことです。

  6. @jinbei230525

    ということは、アクセス元を制限するnginxの方法も調べておくといいですね。

  7. @apppnedty

    Questioner

    nginxのアクセス制限方法も後ほど調べてみます。

HalHarada
@HalHarada

公開サーバーでなく、自社限定ならFWのホワイトリストに自社IPアドレスを登録する?

根気よく被疑IPアドレスをFWでブロックするのが暫定対処でしょうか?

二段階認証する方法もあります。ご参考下さい。

Cookie based brute force login preventionの説明もありました。

1Like

Comments

  1. @apppnedty

    Questioner

    回答と参考サイトありがとうございます。
    All In One WP Securityの分かりやすいサイトがなかなか見つからなかったので助かりました。
    二段階認証も一度検討してみます。

Your answer might help someone💌

LoginSign Up