SiteGuardプラグインの導入について

2015-02-18 07:48:06

弊社にてWordPressで施工させていただいた一部のサイトにつきまして、SiteGuardプラグインを導入しています。

SiteGuardプラグインは、スパムやＷＥＢサイト改ざんのリスクを回避するために導入しています。

ここでは、SiteGuardプラグインについて紹介させていただきます。

http://www.jp-secure.com/cont/products/siteguard_wp_plugin/info.html

SiteGuardが導入されているか確認する

ほとんどの場合で、SiteGuardプラグインが導入されていればWordPressの（管理画面への）ログインＵＲＬが変更されています。
次の様なＵＲＬでログインページが表示されない場合は、SiteGuardプラグインが導入されています。

http://xxxxx.xxx/login
http://xxxxx.xxx/wp/login
http://xxxxx.xxx/wp-login
http://xxxxx.xxx/wp/wp-login(.php)

SiteGuardプラグインが導入されている場合、WordPress(管理画面)ログイン後のメニューに「SiteGuard」という項目が追加されています。

管理者ページアクセス制限

SiteGuardプラグインで、管理者ページアクセス制限を有効にすると、ログインしていない状態でwp-adminディレクトリへのアクセスを禁止します。
具体的には、wp-admin以下へのアクセスがあった場合、404(NotFound)が返ります。

管理ページ（/wp-admin/以降）に対する攻撃から防御するための機能です。
ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。
24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外su るURL（/wp-admin/以降）を指定することができます。

ログインページ変更

サイトが攻撃を受ける場合、多くの場合は人が目で画面を見ながら作業する事はありません。
『攻撃専用のパソコンを用意して、自動的に手当たり次第、色々なサイトにアクセスして、自動的にログインを行って攻撃をする』とイメージしてください。
この攻撃を『ロボットによる攻撃』と言われたりします。

ロボットはWordPressを使用しているサイトに、手当たり次第アクセスしてきます。
WordPressログインページには、ここで指定したＵＲＬでなければ辿りつけない様にして、通常のログインページにアクセスできないようにして、攻撃の対象にならないようにします。
（変更をする度に新しいログインページのＵＲＬアナウンスが、WordPressに登録されたユーザーのメールアドレスに対して、自動的に送信されます。）

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。
ログインページ（wp-login.php）の名前を変更します。
初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

画像認証

ログインページ変更の項で紹介したとおり、多くの場合はロボットによる攻撃を受けます。
ロボットによる攻撃を防ぐために、人が目で見なければ判断できない要素を、ログイン時に追加するのが画像認証機能です。

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
画像認証の文字は、ひらがなと英数字が選択できます。

有効にした場合、ログインページに次の様な認証項目が追加されます。

ログイン詳細エラーメッセージの無効化

例えば、ユーザー名が正しくてパスワードを間違った場合、『パスワードが違います』とエラーメッセージが表示されてしまえば、『なるほど、このユーザー名は存在するのか』と攻撃者は考えます。

この機能を有効にするとエラーメッセージが統一化され、ユーザー名を間違えたのか、パスワードを間違えたのか、画像認証を間違えたのか、をわからないようにします。

ユーザー名の存在を調査する攻撃を受けにくくするための機能です。
ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。

ログインロック

この機能を有効にすると、ログインの失敗が指定期間中に指定回数に達した時に、指定した時間はブロックされます。
そのユーザーでログインできなくなるわけではなく、IPアドレス（ログインに失敗したパソコン（のある場所））が指定した時間ブロックされます。

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。
特に、機械的な攻撃から防御するための機能です。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。

ログインアラート

この機能を有効にすると、ログインされた時にそのユーザーのメールアドレスに知らせます。

不正なログインに気づきやすくするための機能です。
ログインすると、ログインユーザーにメールが送信されます。
ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。
サブジェクトとメール本文には、次の変数が使用できます。（サイト名：%SITENAME%、ユーザ名：%USERNAME%、日付：%DATE%、時刻：%TIME%、IPアドレス：%IPADDRESS%、ユーザーエージェント：%USERAGENT%、リファラー：%REFERER%）
XML-RPCによるアクセスは通知されません。

フェールワンス

この機能を有効にすると、正しいユーザー名・パスワードが入力されても、わざと１回ログインに失敗します。
その後、1分以内に再度正しいユーザー名・パスワードを入力しないとログインできなくなります。

手当たり次第攻撃してくるロボットに、このログインの情報は間違いだったと錯覚させる機能です。

不正なログインに気づきやすくするための機能です。
ログインすると、ログインユーザーにメールが送信されます。
ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。
サブジェクトとメール本文には、次の変数が使用できます。（サイト名：%SITENAME%、ユーザ名：%USERNAME%、日付：%DATE%、時刻：%TIME%、IPアドレス：%IPADDRESS%、ユーザーエージェント：%USERAGENT%、リファラー：%REFERER%）
XML-RPCによるアクセスは通知されません。

ピンバック無効化

「ピンバック」とは他のブログなどにリンクが張られたことを通知する機能です。
サイト内の記事を参考にして、他のブログなどで記事が書かれた場合（URLが紹介されたりした場合）など、一定の条件下で、「記事が紹介されていますよ」と知らせる機能です。
この機能が悪用される事を防ぎます。

ピンバック機能を無効にし、悪用を防ぎます。

Pingback機能を悪用しDDoS攻撃
http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html

共有: