「ブロックした悪意あるログイン試行」が増えていく
1日数件ですが、WordPressダッシュボード「Jetpackごとの統計」欄にある「総当たり攻撃に対する保護機能」の「ブロックした悪意あるログイン試行」件数が増えていることに気づきました。
![](https://www.panhage.com/wp-content/uploads/2021/02/6fa233091d5bc43e2713c325263f6c4f-1024x500.jpg)
「総当たり攻撃」といえるほどの件数ではないので、しばらく放っていたのですが、数件といえども見るたびに件数が増えていくので、気持ちの良いものではありません。
そもそも「総当たり攻撃」って、ログインページにIDとパスワードを片っ端から入力してログインを試みる手口ですよね。
WordPressのログインページのURLはサイト構築時に「SiteGuard」プラグインをインストールして変えたはず。
変更したログインページのURLがバレた?
ログインページに招待(リダイレクト)してた
一般的なログインURLはブロックしていたが…
試しにWprdPressの一般的なログインページのURLである/wp-login.phpにアクセスしてみます。
https://panhage.com/wp-login.php
![](https://www.panhage.com/wp-content/uploads/2021/02/03not_found404-1024x723.jpg)
![](https://i0.wp.com/www.panhage.com/wp-content/uploads/2021/02/03not_found404.jpg?resize=1024%2C723&ssl=1)
いいですね。SiteGuardでログインページのURLを変更しているので、当然の結果です。
管理ページのURLはログインページにリダイレクトしてた
次にWprdPressの管理ページのURLを入力してみます。
https://panhage.com/wp-admin/
![](https://www.panhage.com/wp-content/uploads/2021/02/71d962938fc173478997a012bd280f63-903x1024.jpg)
![](https://i0.wp.com/www.panhage.com/wp-content/uploads/2021/02/71d962938fc173478997a012bd280f63.jpg?resize=903%2C1024&ssl=1)
あら、ログインページが表示されてしまいました。
上記画像のURLは伏字にしていますが、SiteGuardで変更したURLまでもが思いっきり表示されているじゃありませんか。
ログインページが表示されてしまっては、総当たり攻撃の標的にされても仕方がないですね。
SiteGuardの設定が漏れてた?
改めてSiteGuardの設定を確認してみます。
![](https://www.panhage.com/wp-content/uploads/2021/02/4c054b0b61d675a92d18ad7e4a1affc6-1024x684.jpg)
![](https://i0.wp.com/www.panhage.com/wp-content/uploads/2021/02/4c054b0b61d675a92d18ad7e4a1affc6.jpg?resize=1024%2C684&ssl=1)
「変更後のログインページ名」は設定されてるし、スイッチも「ON」になっています。
あら?「管理者ページからログインページへリダイレクトしない」なんて項目あったっけ?チェックはついていません。
チェックして変更を保存してみました。
改めて管理ページのURLにアクセスしてみます。
![](https://www.panhage.com/wp-content/uploads/2021/02/03not_found404-1024x723.jpg)
![](https://i0.wp.com/www.panhage.com/wp-content/uploads/2021/02/03not_found404.jpg?resize=1024%2C723&ssl=1)
ログインページへのリダイレクトは行われなくなりました。求めていた動作ですね。
ちなみに、従来の「変更後のログインページ名」(ログインURL)は公開されていたも同然なので、これを機に改めて変更しました。
まとめ
どうやら「管理者ページからログインページへリダイレクトしない」オプションは昔は無かった機能のようです。私がpanhage.comを構築した際に参考にしたサイトには当オプションの説明はありませんでした。
今回の見直しによりログインページのURLが推測されづらくなったので、簡単には総当たり攻撃の対象にはならないと思います。今のところ「ブロックした悪意あるログイン試行」の数は収まってます。
しばらく様子見ですが、また「ブロックした悪意あるログイン試行」が増えることがあればURLを変えればよいですね。
ちなみに、どんな基準で「ブロックした悪意あるログイン試行」と判断するのかは良くわかりませんでした。分かったら報告します。
コメント