【ブルートフォースアタック対策】nginxで運用するWordPressに施したセキュリティ対策を紹介

      2017/01/03


この年末にかけて運用するWordpressのセキュリティに脆弱性があることが発覚したためサーバーのセキュリティを見直しました。

Nginxで運用しているWordpressがDos攻撃された時の対処法 - 楽楽研究室

僕はウェブサーバーにnginxを採用しているため、今回はnginxに関するセキュリティ対策を紹介したいと思います。

今回下記3つの攻撃からの対策を講じました。

  1. DDos攻撃
  2. 連続ログインによるアカウント乗っ取り
  3. コメント欄へのスパム

さっそく1つずつ紹介しましょう。

スポンサーリンク

DDoS対策

最近このDDoS攻撃による被害が続出しているそうです。

DDoS攻撃とは、複数のネットワークに分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃。

DDoS攻撃とは|分散DoS攻撃|Distributed Denial of Service attack - 意味 / 定義 / 解説 / 説明 : IT用語辞典 e-Words

このDDoS攻撃で特に恐ろしいのは、自分のWebサイトを踏み台にされて知らない間に自分が別サーバーへの不正アクセスに加担してしまうこと。

昨年末にこの攻撃を受け見事にサイトが落ちてしまったので、急いで以下3つの対策を講じました。

Iptablesのでipごと弾く

iptablesではアクセス自体を制限できるのでサーバーに対する負荷も軽減できます。

hashlimitを使って極端に多いアクセスがあった際はipごと弾く設定にしています。

iptables -N HTTP_DOS # “HTTP_DOS” という名前でチェーンを作る
iptables -A HTTP_DOS -p tcp -m multiport –dports 80
 -m hashlimit
 –hashlimit 1/s
 –hashlimit-burst 100
 –hashlimit-htable-expire 300000
 –hashlimit-mode srcip
 –hashlimit-name t_HTTP_DOS
 -j RETURN

# 制限を超えた接続の破棄とロギング
iptables -A HTTP_DOS -j LOG –log-prefix “http_dos_attack: ”
iptables -A HTTP_DOS -j DROP

# HTTPへのパケットは “HTTP_DOS” チェーンへジャンプ
iptables -A INPUT -p tcp -m multiport –dports 80 P -j HTTP_DOS

以下のサイトを参考にさせていただきました。

» 「WordPressのxmlrpc.phpに注意」結果的にDDos攻撃受けサーバを何度も落とされた

「Disable XML-RPC Pingback」を導入

プラグインでピンバック機能を無効にします。これでXML-RPCファイルへの不正アクセスは無くなりました。


Disable XML-RPC — WordPress Plugins

不正なログイン対策

ここの最近ウクライナとかから不正なアクセスが見受けられました。最悪乗っ取りの被害にあう可能性もあるので早急な対応が必要でした。

協力なパスワードに変更

ワードプレスのパスワードを超協力なものに変更しました。ログインパスワードを1passwordで管理していればいちいちパスワードを覚える必要はありません。

1Password

無料
(2017.01.01時点)
posted with ポチレバ

Basic認証の導入


nginxの設定ファイルに以下を追加します。


Basic 認証
location /basictest {
    location ~* /wp-login.php|/wp-admin/.*.php$ {
    auth_basic_user_file /etc/nginx/.htpasswd;
    proxy_pass http://unix:/var/run/nginx.sock;
}

【Nginx】Basic 認証をかける方法手順メモ – oki2a24

ログイン履歴の監視

「Crazy Bone」というプラグインを使ってログイン履歴を監視できるようにしました。

こちらで不正なアクセスがあった場合は、すぐにお知らせしてくれるため不正アクセスに対して即座に対処できるようになります。

ログイン履歴を監視するCrazy Bone(狂骨)の使い方!不正アクセスをチェック! | WordPressのアフィリエイトで稼ぐ人生を始める-サトシ

スパム対策(コメント欄の削除)

最近、コメント欄にスパムがめちゃめちゃ多くてうんざりしていました。

コメント自体もほとんどないし思い切って削除しました。

見栄えもスッキリして良かったです。

さいごに

サーバーをいじりだすと楽しくなります。SSLの導入などやりたいこと思っています。

そちらについても後日紹介できればと思います。

おすすめ記事

1
2016年買って良かったモノを紹介します!

2016年もあとわずか。毎年恒例の買って良かったモノシリーズ、2016年版を紹介 ...

2
英語ができなかった僕がバイリンガルになるまでの5つの英語上達プロセス

英語ができなかった僕がバイリンガルと呼ばれるようになるまでに経験した過程を5つに分けて紹介します。

 - WordPress