不正ログイン対策について

  • 解決済 wrdprss3917

    (@wrdprss3917)


    4ヶ月前

    はじめまして、不正ログイン対策で困っており投稿させていただきます。

    運営しているサイトの管理者ログイン画面について、アクティビティログを残すプラグインを参照すると、管理者ログインできそうなID/パスワード(例:admin、administrator、admin@wordpress.comなど)での総当たり攻撃を毎日数件受けている状況です。

    管理者ログイン画面のURLを変更しても、なぜか変更後のURLがバレていて攻撃が継続されてしまいます。

    海外からの管理者画面へのアクセスを禁止するレンタルサーバー側の機能を使っても、VPN?などで日本からの攻撃に切り替わっている状況です。

    質問したい内容は以下の通りです。

    ①管理者ログイン画面のURLを変更してもすぐにバレるものでしょうか?

    ②攻撃を抑止する方法として良さそうなものがあれば教えて頂きたいです。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • モデレーター Yukinobu Asakawa

    (@yukinobu)

    3ヶ月、 4週前

    こんにちは👋
    ご質問に関する私の見解を書きます。

    >①管理者ログイン画面のURLを変更してもすぐにバレるものでしょうか?

    1.管理画面のURL のみを変更しても、「旧URL(例:/wp-login.php)」や「/wp-admin/」にアクセスした際に、新しいログインURLへリダイレクトされる設定になっていることがある

    2.プラグインやテーマがログインURLを出力している場合がある

    3.サイトマップに含まれてしまっているケースなど

    4.自動スキャンツールによる推測

    が考えられます。
    「URLを変えてもバレる」のは、どこかに痕跡が残っているか、機械的に推測されていることが多いです。
    従いまして、ログインURLを変更することが全く効果なし、とは言えないとは思いますが、状況としてはそれだけでは不十分だと私は思っています。

    >②攻撃を抑止する方法として良さそうなものがあれば教えて頂きたいです。

    1.二要素認証(2FA, MFA)の導入(効果: 高)
    ログイン時にパスワードだけでなく、ワンタイムパスワード(Google Authenticator、SMS、メールなど)も必要にすることで、不正ログインのリスクが大幅に減ります。
    プラグイン例:Two Factor Authentication、Google Authenticator

    2.グローバル固定IPアドレスで管理画面へのログインIPアドレスを制限する(効果: 高)
    許可されたIPアドレス以外からのアクセスを遮断できるため、たとえログインURLが漏れてしまっても、外部(許可外IP)からはログイン画面自体にアクセスできません。出先などから管理画面へアクセスする必要がある場合は、VPN経由でオフィスや自宅のネットワークに接続する運用も検討する必要があります。

    3.ログイン試行回数制限
    一定回数以上ログインに失敗したIPからのアクセスを一時的にブロックします。

    4.CAPTCHAの導入
    管理画面にCAPTCHAなどの認証を追加し、ボットによる攻撃を防ぎます。
    例: Google reCAPTCHA、Cloudflare Turnstileなど

    5.管理画面へのBasic認証追加
    WordPressのログイン前に、WebサーバーレベルでID・パスワードによる認証(Basic認証)をかけることで二重の防御になります。

    どの施策の組み合わせが最適か?については、サイトの運用体制(人数、更新頻度、予算)などの要素で変わるので、一概に言えませんが、一度ご検討いただければと思います。

    水野史土

    (@ounziw)

    3ヶ月、 4週前

    ①管理者ログイン画面のURLを変更してもすぐにバレるものでしょうか?

    ログインURLへのリダイレクト機能がWPにあるので、この機能からログイン画面を変更しても知られてしまう可能性がありますね。
    https://rescuework.nagoya/blog/wp-login/

    ②攻撃を抑止する方法として良さそうなものがあれば教えて頂きたいです。

    ログインURLを変更して運用する = ログインするユーザー全員に変更後のログインURLを通知できる =ログインするユーザーが少人数に限定される、だと思われます。
    であれば、公開サーバー上にはシステム(WordPress等)を置かない、というのが安全性が高いと思われます。(ログインURLだけを隠すのではなく、システム全てを隠す)

    トピック投稿者 wrdprss3917

    (@wrdprss3917)

    3ヶ月、 4週前

    @ounziw さん、返信ありがとうございます。

    >公開サーバー上にはシステム(WordPress等)を置かない、というのが安全性が高いと思われます。(ログインURLだけを隠すのではなく、システム全てを隠す)

    ご共有いただきました内容について調べてみましたが、
    ・WordPressとしての弱点の一つに管理画面や設定ファイルなども公開されてしまう
    →なので、そういったファイルを公開しないようにする

    という対策がある、ということを知りました。確かにこれであれば公開サーバーからアクセスされる不安がなくなるので、有効な方策であると感じました。ありがとうございます。

    トピック投稿者 wrdprss3917

    (@wrdprss3917)

    3ヶ月、 4週前

    @yukinobu さん、返信ありがとうございます。

    >二要素認証(2FA, MFA)の導入(効果: 高)
    >グローバル固定IPアドレスで管理画面へのログインIPアドレスを制限する(効果: 高)

    これらについては簡単に取り入れることができ、かつ効果も高そうであるので、早速プラグインを使用して取り入れたいと思います。ありがとうございます。

    私の中で知っている不正対策を実施しても効果を発揮しない中大変不安でしたが、方針について多数ご提案をいただけ安心いたしました。

    お二人とも大変ありがとうございました。本スレッドは一旦クローズにさせていただきます。

4件の返信を表示中 - 1 - 4件目 (全4件中)

このトピックに返信するにはログインが必要です。