以前、Wordpressのハッカーからの攻撃対策としてWordfence というのを紹介しました。Wordfence Centralというサービスで毎日関連サイトの状況を一元的に監視して、問題が発生したらすぐに対応・対策をするようにしています。
ファイルを派手に改ざんされてしまってホスティングサーバーからアカウントを遮断されてしまった経験があって、クライアントのサイトにまで迷惑が及んでしまった経験があります。アレはもう勘弁です。
今でも本当にたまにですけど、怪しいファイルを発見します。
日本製のハッカー対策プラグイン発見!
そんな監視する毎日の中、何気なくwordpressとハッカー対策関連記事を探して見つけたサイト、Wpdoctorさん !
WpdoctorさんはそもそもWordpressのあれやこれやの面倒を見てくれるWordpress対応総合商社みたいな感じの方々みたいですが、無料のwpdoctorというプラグイン もリリースされています。
このプラグインwordpress.orgに登録されていないみたいで、Wordpressの管理画面からは見つけることができませんでした。
基本機能
サイトスキャン
Wordpressをインストールして作成されるフォルダは基本wp-contentの中のuploads, themes, pluginsはユーザーのファイルが格納されていきますが、それ以外は配布されているWordpressのファイルそのままのはずです。
なので上記ディレクトリ以外は削除・置き換えで対策できますが最近はuploadsの中に怪しいものを置いていくパターンなどもあり、長年運用しているサイトから該当ファイルを探すのは結構大変です。
さらにデータベースの中に怪しげなものを書き込まれたらもう人間の力ではどうにもなりません。
そんなときに便利なのがスキャンツールです。
セキュリティ対策
Wordpressはそもそもブログ用のCMSとして作られたものと記憶しています。かつてはやったpingバック機能やコメント機能など、数々の便利機能が実装されていますが、このような高度な機能を逆手にとってハッキングに利用されてしまうことがあります。
不要な機能を無効にすることによって対策を行います。
ログイン画面にキャプチャと呼ばれる機能を追加してユーザー名、パスワードの他に簡単な足し算の問題が出題されて、それに答えないとログインできないという機能も追加することができます。
でも、この機能どういうわけか自分の環境ではうまく動作しませんでした。
これはセキュリティレベルを一回高い(推奨)にして保存してから、詳細に切り替えてキャプチャ機能だけオフにすることで回避しました。
それと、やはり高機能だけあって他のプラグインとのコンフリクトが起きやすいようです。
筆者の環境ではいまのところ3サイトほどコンフリクトを起こしました。
コンフリクトが起きてしまってwordpressの管理画面にすらアクセスできなくなってしまったら、FTPでプラグインを削除していけば問題を解決することができると思います。
監視
たとえば不正に管理画面にアクセスしようとしているユーザーなどのIPアドレスを取得してブロックします。
とりあえず入れてみた
まだ運用の日数が短いのでなんとも評価しずらいんですが、担当しているサイトのいくつかに入れてみました。
このcrft にもインストール済みです。
幸いインストールしてからいまのところハッカーからの攻撃は受けていません。
でも、wordpressのサイトであれば軽度重度問わず必ずいつか攻撃やいたずらのターゲットになるのは間違いないです。
事実自分が担当しているサイトに対しての何かしらの不正なアクセスチャレンジは毎日あります。
Wordfenceは非常に強力ですが英語のみですし、内容はかなり専門的なものです。もう少し説明がやさしく、日本製のwpdoctorなら断然に安心。
もう一声欲しい機能としては、無料で変なファイルの削除ができたりWordfenceでいうところのWordfence Centralが無料で使えたら完璧なんですけど、、、
欲張りすぎ?
追記:
結局Wordfenceに嫌われてマルウェア扱いになりました。
おそらくwordpress.orgから公開されていないのが主な理由ですが、これはマルウェアでは?というハイライト表示されているところを見ると、筆者には到底理解できない文字列がありました。
ということで、一回関連サイトからは削除することにしました。
残念。。。
