不正アクセスによるトラブル対応
kshino
一部WEBサイトの管理が甘く不正アクセスによるトラブルを経験したので、経緯を記録、公開しておきます。お客様のサイトでなく良かったですがセキュリティに十分留意しないといけないことを痛感しました。
不正アクセスの内容
・Wordpressの練習に何個かWEBサイトにアップしたものの一つがパスワードが甘く、不正ログインをされたのち、不正なプラグインをインストールされ不正なファイルの作成やファイルの書き換え(.htaccessやphpファイル)を行われた。
・Wordpressはサブドメインで構築したものである。
影響範囲
・不正アクセスされたWordpressだけではなく、自分のサーバアカウントで作成している全てのドメインのWordpressに不正なファイルを仕込まれており、全てのWordpressの管理画面にログイン不能となった。
・ユーザ向けのホームページの表示はされていたので、発覚を遅らそうとしていたと考えられる。
・恐らく踏み台として使うための不正アクセスと想定。
発覚の経緯
・自分の運用しているWordpressにログインできないことで、不審に気がついた。
・不正アクセスされたのは7/21で、アクセスできないことに気がついたのは7/22。当初はセキュリティ用のプラグインの不具合かと考えて無効化したりしていたが、復旧できないのでサーバ事業者に調査依頼をしたら不正アクセスをされているとのことだった7/24。WEBサイトへのアクセスを停止。
・7/28に復旧
復旧方法
・「発見された全てのファイルを削除する」あるいは「バックアップから復旧」となります。
・私の場合、バックアップからの自動復元機能で復元できなかったので、レンタル事業者から指定された全てのファイル(約300個)を削除して復旧(※同じ時間帯でバックアップ機能に障害が発生していた。バックアップファイルを手動でダウンロードして手動復元を試せばできたかもしれない)。
・不要なドメイン、Wordpressを削除や初期化。
今後の対策
セキュリティ対策を見直して、最低限以下を実施します。
・不要なドメイン、WEBサイトは削除
・ログイン画面のURLは変更⇒SightGurad
・複雑なパスワードにする⇒強力以上
・ログインの試行回数の制限⇒連続失敗で何分間かロック(SightGurad)
・画像認証⇒SightGurad
・ログインアラート設定⇒SightGurad
・ログイン詳細エラーメッセージの無効化⇒SightGurad
・WAFを有効化⇒レンタルサーバ
・SSHのIPアドレス制限⇒レンタルサーバ
・FTPのIPアドレス制限⇒レンタルサーバ
・国外からのアクセス制限⇒レンタルサーバのWordpressセキュリティ設定
・Wordpress、テーマ、プラグインの自動更新
・自動バックアップ⇒レンタルサーバ(サーバ機能で1週間分。2週間分くらい欲しいが)
・手動バックアップ⇒all-in-oneバックアップで随時or月1回
・SSL設定⇒レンタルサーバ
・アクセスログの設定⇒レンタルサーバ
・定期的なサーバの正常性の確認⇒レンタルサーバ機能
