みなさ~ん、ここにおバカがいますよ~っ(^O^)

WordPressのセキュリティは自己責任!?

ライブドアブログ時代(※注:1年ほど前までライブドアブログのお世話になっていました)のセキュリティ対策といえば、せいぜい自身のログインパスワードを管理するくらいなもので、サイトそのもののセキュリティは全てライブドアブログにお任せでした。

ところが、現在はというと、簡単かつ便利なライブドアブログを卒業し、自ら調達したサーバーを利用してWordPressでブログを書いています。サーバーはレンタルですから、言ってみれば「実家暮らしをやめ、賃貸アパートでの独り暮らしを始めた」ようなものですね。

この例え、分かりにくいでしょうか 笑

独り暮らしともなれば、食事も掃除も洗濯も、全て自分で何とかするのが当たり前。ブログのセキュリティ対策も自分で用意しなければいけません。

ぶっちゃけ面倒くさいですがね(´・ω・`)

便利なセキュリティプラグイン「SiteGuard WP Plugin」

しかしながら、WordPressには「インストールするだけで簡単にセキュリティを向上させることができる」便利なプラグインが提供されています。

私が今回利用してみたのは、株式会社ジェイピー・セキュアが開発・公開している「SiteGuard WP Plugin」というプラグインです。

株式会社ジェイピー・セキュアの公式サイトはこちら。
https://www.jp-secure.com/

このプラグインの特長は、以下のとおりです。

SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。
管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。

  • 不正ログイン
  • 管理ページへの不正アクセス
  • コメントスパム

(上記の株式会社ジェイピー・セキュア公式サイトより)

※他にも色々な機能がありますが、ここでは説明を省略させていただきます。

リスト攻撃を防ぐ「フェールワンス」機能

最も原始的かつ効果的な不正ログインの手法として「リスト攻撃」があります。「リスト攻撃」とは、何らかの不正な手段によって入手したログイン情報を使い、総当たりで不正ログインを試みる攻撃方法です。

これを防ぐための機能が「フェールワンス」で、正しいログインIDとパスワードを入力しても必ず1度ログインに失敗するという機能です。ログイン作業が少しばかり面倒になりますが、リスト攻撃による不正ログインの防止に役立ちます。

私自身はこれまで「フェールワンス」機能を利用していなかったのですが、「ものは試し」ということで、今回初めて有効化してみました。

そう、それが悲劇の始まりだとも知らずに・・・

「フェールワンス」の無限ループにハマる

これは、私が涙ながらにログインを試み続けた履歴です。フェールワンスなのに、延々とログイン失敗が続いています。フェールワンスの説明文には「5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します」とありますが、そのとおりに試してみても、全くログインできません。何十回と試しましたが、全てダメでした。

ブログ終わったわコレ(´・ω・`)

絶望、そして後悔。もちろん半ベソでしたが、何か?

「お前、アク禁な」

ログイン失敗をずっと繰り返していると、WordPressの総合管理プラグイン「Jetpack」によって「総当たり攻撃」と判定されてしまい、管理人である私が「アク禁」にされてしまいました。

上記の画像は、私の連絡用メールアドレスに届いたお知らせメールです。メールには「ログインしたかったら下記のリンクをクリックしてね」と書いてありますが、「Login」や「Reset Your Password」をクリックしても、私のブログの404エラーページに飛ばされるだけで、何も解決しませんでした。なんでやねん。

なお、Jetpackによるアク禁措置については、Jetpackの英語サイトにこう記載されています。

「不正なログインを試みている貴方のIPアドレスをログインページからシャットアウトしました。アク禁の解除までにかかる時間はケースバイケースなので、個別のケースに対して具体的な回答をすることはできません。」

確かに不審なログイン操作だったと自分でも思いますが、今まで管理人としてログインし続けてきた私のIPアドレスをあっさりアク禁にするとは・・・

 

 

 

容赦ねぇな(´・ω・`)

※ちなみに私の場合は半日ほどで解除されました。

WordPressで作成したサイトの総合管理プラグイン「Jetpack」

ちょっと話題が逸れてしまいますが、ここで「Jetpack」のご説明を。

「Jetpack」とは、24時間のサイトセキュリティ、パフォーマンスの最適化、統計情報の収集など、WordPressで作成したサイトの総合的な管理を支援するプラグインです。公式サイトによれば、WordPress.comからも利用を推奨されているのだそう。

公式サイトはこちらです。
https://ja.jetpack.com/

「諦めかけた正にその時!!」って実際によくあるから困る

さて、ここで再びSiteGuardの「フェールワンス」機能に話を戻します。

メインのIPアドレスをブロックされて途方に暮れていた私でしたが、モバイルデータ通信を利用するスマホからならログインできることに気付き、スマホからのログインを試みることに。

しかし、やはり上手く行きません。正しいログイン情報を入力しているのに、何度やっても失敗してしまいます。エンドレス・フェールワンス。

あまりにログインできないため、「そもそもIDとパスワードが間違っているのではないか?」と疑心暗鬼に陥るほどでした。ログインできたからフェールワンスを有効化できたというのに、見事にフェールワンスの罠にハマっています 笑

こんな時、徹夜でログインする方法を模索するのがブログ管理人のあるべき行動なのでしょうが、

今日はもう無理、寝よ(*‘ω‘ *)※午後10時前

私は履歴書の特技欄に「面倒なことをとりあえず後回しにすること」と書くような人間ですから、早々に全てを諦めて寝ることにしました。ほら、「果報は寝て待て」とよく言うでしょう?

しかしながら、正に諦めかけたその瞬間、否、既に諦めた直後WordPressでこのブログを作った際に設定したきり全く使用していなかった「ユーザーID」のことを思い出したのです

そしてログインへ

ログインには「ユーザーID又はメールアドレスとパスワード」が必要となっていますが、私が普段使用していたのは「メールアドレスとパスワード」。そこで、寝る前に一度だけ「ユーザーIDとパスワード」を試してみることにしました。

一度目のログイン試行は、フェールワンスのため失敗となります。しっかり5秒待って、再度ログイン情報を入力。すると、拍子抜けするほどあっさりとログインに成功しました。ふたつ前の画像のログイン成功履歴は、この時のものです。

「フェールワンス」の正しい使い方

どうやら、対象ユーザーを「管理者のみ」に設定すると、管理者用のユーザーID以外を用いたログインについては全てブロックしてしまうみたいですね。

SiteGuardのフェールワンス機能を有効化した結果、何故かログインできなくなってしまったという方は、管理者用ユーザーIDを用いたログイン(又は逆にメールアドレスを用いたログイン)をお試しください。

私は怖いのでもう試しませんけどね(*‘ω‘ *)


新しい機能を試して痛い目に遭うことがあれば、またこのブログで報告いたします。
最後までお読みいただき、ありがとうございました!