備忘録_40 / wordpress_15
今までは主にServersManVPSのセキュリティを行って来ましたが、今回はWordPressのセキュリティを考えます。
今即急に対策を考えなくてはならない穴(セキュリティホール)はログイン周りです。
今後運用が安定し次第SSL化を始め、やるべき事は多いです。―――枚挙に遑が有りません!( *`ω´)ドヤァ
WordPressを秘密鍵ログインに変更する
パスワードクラックの手口を知る
もっとも代表的なパスワードのクラッキング手法として辞書攻撃、総当たり攻撃があります。
- 総当たり攻撃(ブルートフォースアタック)
自転車に使うダイヤル式チェーンロックの番号を忘れてしまった時の様に、
0000~9999まで順番に総当たりでパスワードを打ち込みパスワードを破る方法です。
膨大な試行回数がかかり、時間ロスが大きく、桁数や文字種が多いほど解析が困難になります。
途方もない試行回数と気が遠くなるほどの時間を気にしなければ、いつかは必ず鍵が破られます。 - 辞書攻撃
パスワードのド忘れ予防策として「リマインダー」なる機能を使った事は無いでしょうか?
例えば日本史語呂合わせ、いい国(1192)造ろう鎌倉幕府のように、
何らか覚えやすい工夫を凝らしたパスワードにされている方も多いのではないかと思います。
実はそこに問題が有ります、人間が発想するパスワードはワンパターンな事が多いのです。
予め良く使われるパスワードを集めて「辞書」を作っておき攻撃に利用するのが辞書攻撃です。
侵入目的のクラッカーの傾向としては最初に比較的成功確率の高い②辞書攻撃を行い、侵入に失敗した場合、次に本命の攻撃手段である①総当たり攻撃へと手法を切り替えてきます。②辞書攻撃>①総当たり攻撃 の順番で行われます。
WordPressの秘密鍵 (シークレットキー) は、パスワードに加えてWordPress社独自のアルゴリズム「ハッシュ用salt」によるランダム要素を追加することによりセキュリティの壁を高くしてサイトへのハッキングを困難にします。
簡単に言いますと、秘密鍵は攻撃にかかる時間と手間を確実に増やしてくれます。
秘密鍵の導入方法
WordPress公式_マニュアルより、
ここから公式マニュアルを参考にして進めていきます。
データベースの設定・セキュリティキーの項目です。
このページは今後も使いますブックマーク推奨です。
1⃣ wp-config.phpファイルを開きます。
[図_1]
WinSCPを使い仮想専用サーバーServersMan@VPS内に格納されているwp-config.phpファイルを開き直接編集します。
WinSCPの使い方は以前こちらで説明してあります
併せてご参照下さい。
2⃣ 生成された秘密鍵をマウスコピーします。
長くて複雑なランダムな値を設定します。オンラインジェネレータ を使用して作成すると良いでしょう。これらは変更することで、既存のすべての Cookie をいつでも無効にすることができます。ただし、すべてのユーザーが再度ログインする必要があります。
何故、この値を変えなければならないのかと言いますと、デフォルトでは全て同じ値になっているため答えを予想しやすくハッキングが容易だからなのです。
[図_2]
上記に記述されているオンラインジェネレータのページにアクセスすると左の様なページが表示されます。
ブラウザはfirefoxを使っています。
パスフレーズは自前で用意する事も可能ですが、まんまコピペで良いのではないでしょうか。
3⃣ wp-config.phpファイルに秘密鍵をペーストします。
[図_3]
左はWinSCPのwp-config.phpファイル編集画面です。
秘密鍵(シークレットキー)と書かれていたり、認証鍵(ユニークキー)と書かれていたりややこしいのですが、
[図_2] よりコピーしたものを、
[図_3] wp-config.phpファイルの以下の場所にペーストします。
最後にファイルの上書き保存します。
WordPressの秘密鍵の設定は以上です。後は自動でセキュリティの効力を発揮してくれます。また、ユーザーにとって使い勝手はそれ以前と何ら変わりないものです。
WordPressのadmin、ログイン名の変更
WordPressのユーザー名(ログインID)の変更方法ですが、結論を先に言うと「変更不可能」です。
そこで新規ユーザーを作成して引き継ぎさせて旧ユーザーを削除する手順を踏みます。
- ユーザー名:admin
- パスワード:xxxxxxxx
左は今となっては何もかもが懐かしい、記念すべきブログ初投稿ですが…。
ご覧の様にユーザー名が「admin」となっております。adminとはadministratorの略で、私の様な英単語スペルの綴りの暗記があやふやな人が良く使います。
悪い見本です「admin」「root」「webmaster」等の第三者が想像しやすいユーザー名は絶対に避けましょう。
ご心配なく情報は後からいつでも変更できます。
しかし、備忘録第一回の初回ログイン「ようこそ」に書かれていたこの一文は何だったのでしょうか?
簡単に変更ないワケじゃないですか … … 。
1⃣ 新規ユーザーを新しく追加します。
[図_4]
必須項目のみ以下4点で良いです。
- ユーザー名(必須)
- メール(必須)
- パスワード
⇒ 「強力」 - 権限グループ
⇒ 「管理者」を選択します。
新規ユーザーを作成しましたら、一度ログアウトして新規ユーザーでログイン仕直します。
2⃣ 旧ユーザーを削除します。
[図_6]
画面右上、ユーザー名が新規に作成した「ホニャララさん」になってます。
左サイドバーのユーザー一覧より、
旧管理者のユーザーを削除します。
私の例では、admin となってます。
[図_7]
このとき画面左の確認メッセージが出ます。
「すべてのコンテンツを以下のユーザーのものにする」を選択します。
またプルダウンは、新規で作成した管理者のIDに引き継ぎさせます。
私の例ではホニャララとなってます。
[図_8]
ユーザーを削除しました。
と、表示されます。
旧管理者を廃し、新規管理者に引き継ぎを終えました。
ログインID、投稿名、パスワードが変更されてます。
防衛策を考えましょう
パスワードは時おり変更しましょう。・・・面倒ですがこれは仕方がないです。
この時パスワード①変更前に一つ、②変更後一つ、ServersManDiskでフルバックアップを作成します。
| ┌─────── ロールバック ←───────┐ | ||||
| 2021/03/21 | 2021/04/11 | 2021/04/21 | 2021/05/11 | 2021/06/22 |
| pass:apple ServersMan@Diskバックアップ |
pass:orange ServersMan@Diskバックアップ |
pass:cherry ServersMan@Diskバックアップ |
pass:melon ServersMan@Diskバックアップ |
しまった! サイトを乗っ取られてしまった! |
| ↑ハッキング | ||||
もしハッカーによるクラッキングを受けてサイトを乗っ取られてしまった場合取り戻す事は容易ではありません。
定期的にServersManDiskバックアップを作成して置けば強制的な上書きによるロールバックで先のログイン名とパスワードに戻すことが出来ます。
加えて古いパスワードをメモし忘れてしまうとログイン出来なくなります。注意しましょう。
本日は以上です。有り難うございました。