Domain変更!

今まで使っていた無料のサブドメインである、[smg.0g0.jp]から
有料のルートドメインである[smgjp.com]に変更しました!

やはりあこがれのルートドメインで、
初めて構築したWEBサイトもやっと落ち着いてきて、
そろそろTEST運用から本格運用に切り替えようと思い、
ドメインも変更してみました。

料金も月で考えると130円程度なんでまぁ高くはないかなぁ~と思いまして。

ところが、ドメインを移行早々今まで全く攻撃されてなかった、
このWEBサイトがついに攻撃にさらされるようになったので報告をしたくなりました。w( ノД`)

ログイン総当たり攻撃

通称ブルートフォースアタック(Brute-force)
という、まぁログインを何度も試してパスワード当たらないかな?攻撃をされました。
一応ドメインを変える前にログイン回数を制限するプラグインを入れていたので、
まぁそこまでビビりはしなかったんですが、、、

いままで一度も動いたことが無かったので動いているか不安だったんですが、
ちゃんと仕事をしてくれました!w

ログもきちんと出ていたんで攻撃方法もわかりました。
今までログなんて意味ない(情報過多で探すのが大変すぎて無理)と思っていたんですが、
きちんと必要なものだけログ取ってくれるソフトがあればこんなに便利だと
改めて感じました。

というか、このサイトの登録者は自分だけなので
ログイン行為があった時点でそれはすべて攻撃者なんですけどねwww

攻撃方法

ユーザー名はURLにあるコードを入れると見つけられるようで、
それを使い取得していると思われます。

つまり、ボットによる無差別攻撃ですね。
自分は少しだけプログラマーだったこともあるんで、
そのプログラムは組めないまでも比較的楽に組めそうという事くらいは分かります。

というのも、Wordpressではユーザー名のほかにニックネームを設定できるようになっており、
自分も設定していたんで、人間だったらそのニックネームでまずは攻撃してみると思うんですが、
迷いもせずユーザー名で攻撃していたんでプログラムだと予想がつきます。
(まぁ分かっている人なら人間でも可能ですけどね)

で次にログイン方法

これは正規のログイン方法ではなくリモートで記事を投稿するための機能を悪用したものでした。
xmlrpcというものを使うらしく、これもプログラムを組むのは簡単にできそうです。

要はメールでWordpressの記事を投稿できる機能らしいんですが、
このメールの内容のログイン情報の部分をプログラムでいじって送るという機能にして、
ログイン出来たらそのIP&ID&PASSを攻撃者に通知するようなものだと予測できます。

これだけの機能だったらプログラムを少し勉強した中学生でも作れるんじゃないかと思います。
まぁそのプログラムをウィルスに含めて拡散して、
その情報をこっそり取得するプログラムはちょっと大変そうですが。

一番の問題はルートドメインにしただけで攻撃されるのが分かったという事ですね。
今までの無料サブドメインでは全く攻撃された様子がなかったんで、
恐らく、無料ドメインのルート側でブロックしていたか、
そもそもサブドメインなんかに攻撃者が興味無いかのどちらかですね。

ちなみに、無料ドメインはMyDNSさんで取ってました!
ここはDDNSで大変お世話になっているんで、おすすめです!

というわけで、WEBサーバのアクセス数とか全く関係なく攻撃はされるんで
セキュリティー対策はやっておくに越したことはないという結果でした。

対策方法

まぁ分かってしまえばとりあえず対処法はあるんで、
WordPress用のセキュリティープラグインで設定してあげるだけなんですが。。。

自分は3つのプラグインで対策しています。

1・All In One WP Security

もうこれだけでいいんじゃないかという全部入りパックですね。
というか本当はこれだけにしたほうが余計なプラグインも入らずスマートなんですが
ログイン回数制限の仕方が希望と合わなかったのと、
Google reCAPTCHAのバージョンが3に対応していなかったので下記も入れています。

ただし、高機能すぎて何が必要かよくわからないところに注意が必要。
あまりセキュリティを高くしすぎると、使えなくなる機能もあるんで注意!

このプラグインでは今回以下の設定をした。

  • URLからのユーザーID取得禁止
  • xmlrpcでのアクセス制限(これに対してはよくわからなかったので効くかどうかは???である)
  • WordPressのバージョン情報隠蔽
  • 二要素認証追加(Google)

まぁ詳細の設定方法などはネットにいくらでもありそうなんで割愛。
その内まとめる予定ではあります。(予定は未定)

2・Limit Login Attempts Reloaded

これはログインの回数制限に対してのみのシンプルなプラグイン
非常に分かりやすいので気に入っている。
ただ、ブラックリストには手動で入れないといけないので
回数制限に達したら3か月間ロックにする設定にしている。

必要だったら手動でロック解除できるんでこのほうが楽そうという判断。
またログもかなりわかりやすくて助かった。

3・Simple Google reCAPTCHA

これはなんかよくわからんがBotっぽい動きを検出したらアクセスさせなくする機能。
バージョン1・2・3とあるがバージョン3はユーザーが特に気にすることなく検出してくれるらしいんで
そのバージョンを使うために追加している。

詳しくは「Google reCAPTCHA」で検索してください。

Google Domains

今回ドメインはGoogleドメインさんで購入した。
以前一回「お名前ドットコム」で試しに買ったときは、設定がよくわからなくて放置したけど、
Googleさんは比較的わかりやすかった。
あと、お名前ドットコムは情報メールがうざい!

んで、MyDNSで今までやってきたんですが、
どうもネットを参考に作成したシステムタイマーでエラーがたまに出るようになってしまったので、
DDNS(ダイナミックドメインネームシステム)もメインドメインはGoogleに移行してみようと思ったんですが

まぁここで盛大に躓きました。。。

IPv4に関しては何とか出来たんですが。(そのうち記事にするかも)
そもそもIPv6には対応していないみたい。。。(公式ドキュメントでは対応しているっぽいのに)

まぁIPv4は固定IPだし。
IPv6は半固定だし
とりあえず普通にDNSで使ってみることにした。
本当はIPv6だけDDNSで運用したいんだけどな~。

とりあえず言えることは
MyDNSのサブドメインのほうが安全!
ということ。

じゃあ元に戻すかと言われれば、
あえて前線に行かなければセキュリティの勉強は出来ないから俺はルートドメインで行く!
でも、そういうのが面倒な人はMyDNSのサブドメインがおすすめ。

と言うところで。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です