wordpressのログインURLを変更するWPS Hide Login

備忘録_69 / wordpress_29

セキュリティ

セキュリティAPIについて ①

先に執筆投稿した、jetpack securityとreCAPTCHAの回について幾つか説明を忘れていた箇所があります。まずはその補足説明になりますが、二つのセキュリティウェアの違いです。どちらも不正な接続をブロックする機能に違いはありません。しかし、そのセキュリティ方式に違いがあります。

1⃣ Jetpack security
世界中に7000万人のWordPressのユーザーがいます。WordPress本社に置かれた中央サーバーで情報を共有することにより統計データから攻撃者を割り出します。末端サーバーのサイトヘルス状態を常にモニタリングしているため、サイトのどの箇所が狙われているかまで細かく熟知しています。多数のサーバーを使用する分散型の総当たり攻撃に効果を発揮します。

2⃣ reCAPTCHA v3
reCAPTCHA v3 は予め人間らしい挙動パターンをAIに学習させておき、その経験則に照らし合わせて人間かbotかを判断します。人間らしくない、即ち botと疑わしき者をブロックしてくれます。だったのですが、最近 reCAPTCHA v3 を破るbotプログラムが登場し猛威を振るっています。

両者にはセキュリティ方式に違いがあるため、2つ同時に実装すればより良い効果を期待できます。間に余計なプロセスが入る為、デメリットとして多少ではありますがwebページの表示スピードの低下が起こります。

reCAPTCHAが誤判定を起こした時の対処法

また、全てを手打ちせずとも下二桁くらいをバックスペースキーで消して、キーボードから再入力すれば通ると思います。しかし、キーロガーと言うハッキング手法もあり、個人的に手打ち入力もあまり安全では無いと思っております。

代表的なハッカーの攻撃手法

攻撃者はコンピューターへの侵入を目的として仕掛けてくるわけですが、そのバリエーションを簡単に説明します。

1⃣ 総当たり攻撃（ブルートフォースアタック）
パスワードや暗号を総当たりで割り出す方法です。自転車のチェーンロックの番号を忘れてしまった事は無いでしょうか？暗証番号が数字4桁の場合「0000」から「9999」まで1万通りのパターンがあります。こちらを「0000」「0001」「0002」…「9999」まで順番に試行していくと必ず開きますよね。人の手で行うとウンザリするほど大変ですが、それを実行するのは疲れ知らずのコンピューターです。延々と実行し続ければいつかは必ず開く事になります。
総当たり攻撃はハッキングで最もよく使われるメジャーな手法です。その理由はお手軽だからです。以下3⃣以降にハードな手法の例もいくつか挙げましたが、比較してみると少ない労力でそれなりの成果を得られる事が分ります。

2⃣ 辞書攻撃（ディクショナリアタック）
皆さんはどのようにしてパスワードや暗証番号を管理しているでしょうか？ネット社会になり便利な世の中になった反面、どこのサイトにログインするにしてもパスワードが要求されます。あれ、あのパスワード何だっけ？いざ使う時にどうしてもパスワードを思い出せない事があると思います。あるあるですが、パスワードを忘れないように「Apple」「hiroshi」「watasidesu」など分かり易い単語をつい用いてしまいます。いかにもパスワードに好んで使われそうな単語や人名を予め大量に用意して置き、順番にログインを試行する方式を辞書攻撃と言います。この手法も総当たり攻撃の一種のため、特に区別されない事が多いです。

3⃣ セキュリティホールを突く
WordPress、Linux CentoOS、データーベース、仮想専用サーバーの基幹システムのプログラムの盲点を突いてセキュリティを破る手法です。全世界にWordPressを使っているユーザーは7000万人、CentOSのユーザーは10億人いるようですが、プログラムの盲点を見つけ出し破る事が出来れば広範囲に及ぶ多大な損害が発生します。ハッカーは大変な労力を要しますがそれに見合う成果を得る事になります。しかし大勢のエンジニア達の目を掻い潜り攻撃を仕掛ける事は至難の業です。

4⃣ RSA暗号方式をクラッキングする。
現在インターネットで使われているパスワード（情報通信暗号）はRSA暗号方式と呼ばれる暗号アルゴリズムを採用しています。こちらはアメリカのクレイ数学研究所によって2000年に発表され、100万ドルの懸賞金がかけられた数学上の七つの未解決問題・ミレニアム懸賞問題の一つである「P≠NP予想」解き明かせば割ることが可能です。ですが、もしこの根本を割る事が出来たらもはやスーパーハッカ―どころではなく超々一流の天才数学者です。問題を解けたら一応100万ドル（1億5千万円）もらえる事になっていますが、こんなはした金貰わなくてもビットコインから銀行預金、ウォールストリートまでありとあらゆる富を1人で総取り出来ます。それは一夜にして世界経済が成り立たなくなるという事を意味します。つまり「P≠NP予想」は誰にも解けないという前提で成り立っています。ご安心ください、仮にミレニアム問題が解かれてしまったとしても「楕円曲線暗号」「格子暗号」といった代替暗号モデルも既に用意されております。

5⃣ 米国国家安全保障局のスパコンの処理能力を超えるコンピュータを用意する。
RSA暗号方式ではパスワードの桁数を長くすればするほど強度が高まるわけですが、鍵の最長サイズには制限が設けられております。一般人が使う程度のコンピュータの演算能力では割る事が不可能で、かつ、米国国家安全保障局（NSA）のスパコンで割る事が可能な程度の長さにしてあります。つまりNSAのスパコンと同等ないしそれを超える演算能力を持つコンピュータを使えばパスワードを割る事が可能です。しかしその様な高性能なコンピューターを持っていたらアメリカ合衆国大統領に成り代わり、全世界を統べる独裁者に成れるでしょう。

一例を挙げた物の他にも多種多様な攻撃手法が存在します。話が長くなりましたがとにかく1⃣と2⃣の総当たり攻撃にだけ気を付けていれば良いです。それ以外3⃣4⃣5⃣のハッキング攻撃については個人で対処する事は難しいです。そもそも論になりますが、このお布団ブログを乗っ取ったところで攻撃者はなんの益があるでしょうか？例えばこのサイトには隠しフォルダがあり、たんまりとお金になるマル秘情報が隠してある！…などという事は当然考えられません。大企業のコーポレートサイトを狙うならまだ分りますが、個人ブログを狙ったところで何一つお金に繋がる物はありません。
しかし攻撃者が狙うのは、それなりの理由があるからです。攻撃者の目的はお布団ブログのwebサイトではなく、月額ワンコインの仮想専用サーバーです。残念ながら当webサイトの情報には全く価値がありません😢 攻撃者は仮想専用サーバーを乗っ取り、それを踏み台にしてさらに高度なハッキング3⃣を仕掛ける足掛かりとして利用します。コンピューターは疲れを知りませんから、一たび総当たり攻撃を始めるとパスワードを解き明かすまでずっと演算をし続けます。しかしそこにはデメリットもあります。パスワード解析には物凄いCPUパワー消費します。もしも自分の家のパソコンをフルパワーで24時間フル稼働させていたら目玉が飛び出るほど高額な電気代の請求書が来てしまいますよね。つまり、総当たり攻撃を仕掛けてくるコンピューターもまたハッカーに乗っ取られてしまったサーバーの中の一台なのです。

ログインURLアドレスの変更方法

先にも述べたように個人で対処できるハッキング攻撃は総当たり攻撃だけです。その総当たり攻撃とはwebサイトのパスワード入力フォームを狙う攻撃手法です。何としても管理者ログインフォームを死守する以外に道はありません。

ユーザー数 7000万人を誇るwordpressで作成された全てのサイトは一律に、wp-login.phpから始まります。攻撃者にしてみれば狙う場所は既に特定出来ている事になります。これは危険な状態ですから、まずは管理者ログインURLを変更します。

WPS Hide Login

以上の操作によりWPS Hide Loginプラグインが機能しなくなり、デフォルト設定のログインURL（/wp-login）に戻ります。wordpress管理画面より再度URLを設定仕直して下さい。これはreCAPTCHAにも有効です。もしもログインの際にreCAPTCHAに弾かれてログインできない場合も同様にして対処します。

セキュリティAPIについて ②

私たちwordpressユーザーにしてみれば、[パスワード紛失フォーム]や[パスワードリセットフォーム]は管理画面にあり、一度ログインしてからでないと設定画面に触れる事は出来ません。ならば特に必要無いのでは？
と一見そう思えてしまいますが、違います。wordpressのデフォルトの設定ではこれらのディレクトリを直接狙えてしまいます。そもそも攻撃者はブラウザを使っていません。ですから、攻撃に晒されるリスクはどの入力フォームも同じだったりします。

今回は以上です。ありがとうございました。

Eyecatch image：Sam Williams / Pixabay，adobe tutorial sample / adobe.com