さて、2回に渡ってWordCampTokyo2017の感想を書きましたが、TomoのWordCamp参加は今回が2度目です。初参加が2016年なのですが、その時から入れているプラグインの一つに、「SiteGuard」があります。
昨年のWordCampTokyoで学んだこと
というのも、これは自分にとってのWordCamp初セッションでもあった「CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう」(徳丸浩さん)のセッションのなかで紹介されて、その日のうちに当時作りたてだった当サイトを含めて色々な所に採用しています。(何気にここも1周年なんですねえ…🎂)
このSiteGuard、まさにかゆいところに手が届く日本製のセキュリティプラグインなのですが、その中にログイン履歴というものが残ります。自分が身に覚えのないログインもガシガシ記録してくれます。
成功も失敗もあるんだよ…ログイン履歴
では失敗履歴をば…
あ、これは「ログイン失敗+ログインページ」での絞り込みで大体の原因は自分です。IPもバッチリ国内に固まってました…(パスワード入力の凡ミス、 CAPTCHA誤変換などなど…)
で、本題はこっち「ログイン失敗+XML-PRC」の絞り込み。
結構執拗ですねぇ…IPから国を調べてみると、アメリカ、スペイン、ウクライナ…etc
管理人は生まれてこの方一度も日本を出ていませんので明らかに不正アクセスしようとしている第三者です。
というか管理人はXML-PRCってなんぞ?ってぐらいだったもので
調べてみると、リモートでごにょごにょする機能といった感じ、なんか勝手口から入りますという感じでしょうかね…
使わない機能はセキュリティのために切り捨てる勇気
そんなもんはいらないです。堂々と正面玄関(ログインページ)から入りますよ。
SiteGuardにはこのXML-PRCを無効化する機能もあります。(「XMLRPC防御」でピンバックのみ無効化するか、XMLPRCも無効化するか選択できます。)勝手口にも鍵をかけるのは大切ですね。ただし、この機能を使うアプリやプラグインがあったら無効にせざるを得ないようです。
でも大半の方はログインページからログインするのが普通ですからね。WordPressには便利な機能が多数ある反面、使わないなあ、とかいらないなあと思うなら切り捨ててもいいんです。WordPressでも断捨離は大事!
セキュリティあれこれ、実に多彩
しかもこのSiteGuardにはログインページのURLをデフォルトから変更する機能(ログインページ変更)があったり、wp-adminへのアクセスを拒否する機能(管理ページアクセス制御)もあったりします。また、ログインページからログインしたことをメールで知らせてくれる機能(ログインアラート)もあります。
この履歴はSiteGuardを入れていたから判明したことになるのですが、入れてなかったら今頃どうなってたんだろうと思うと肝を冷やしました。まだ導入していない方はぜひ導入して見てください。
感謝は☆☆☆☆☆で伝えよう!(見てくれてるとは限らないけど…)
で、今年のWordCampTokyo「WordPressサイト構築プロジェクトマネジメント -何故プロジェクトはいつも最後にバタバタするのか- 」(大串 肇さん)のセッションにて出た、「どうしたらプラグイン作者に感謝を伝えられるのか」→「スターをつけようぜ☆☆☆☆☆」にしたがって、1年間平穏無事に過ごせたお礼も含めて5つ星をつけてきました。
強固なセキュリティが築けるのと、日本製ゆえの日本語話者へのわかりやすさ、わからないセキュリティ用語を学ぼうとする意欲を掻き立ててくれる「SiteGuard」オススメです!