はじめに
当ブログはWordPressにて構築しています。
WordPressを狙った攻撃は多々ありますが、当ブログで発生したインシデントについてまとめてみました。
パスワード総当たり攻撃
WordPressの管理画面に対し一切制限を設けていなかったことにより、管理者ユーザーへの総当たり攻撃が行われていました。
ログを見ると10,000回以上行われていて、ちょっとゾッとしました。(わかりやすいパスワードにしていなくてよかった…)
まずかった点
- 管理者のユーザーIDがわかりやすいものになっていた。
- IP制限などを設けていなかった
対策
管理画面へアクセスできるIPアドレスを制限することにしました。
xmlrpc.phpに対するDOS攻撃
上記の総当たり攻撃の調査の一環でアクセスログを確認していたところ、
XXX.XXX.XXX.XXX - - [17/Oct/2021:19:08:01 +0900] "POST //xmlrpc.php HTTP/1.1" こんなログが1秒おきに…
「パケット転送料(アウトバウンド)で、高額請求になるからやめようね、ほんと」と思いながら、粛々とNginxを再起動しました。
xmlrpc.php is 何?
WordPressのRPCの模様。※詳しくは各自お調べください。
対策
Nginx側でアクセスをブロックするように、confを書き換えました。
location ~* xmlrpc.php {
deny all;
}.envへのアクセス
ある日ログを監視していると、こんなログが…
XXX.XXX.XXX.XXX - - [18/Oct/2021:00:23:09 +0900] "GET /.env HTTP/1.1" 301 169 "-"dot envを表示しようとGETリクエストしているようですが…
当サイトはdot envを使用しておらず被害は無しですが、利用されている方はお気をつけくださいませ。
※ステータスコードが、301となっているのは、HTTPをHTTPSにリダイレクトしているためです。
phpMyAdmin関連
ログを見ていると、phpMyAdmin関連のアクセスがありました。
当サイトではphpMyAdminは使用しておらず、sshトンネルでの運用としているためこちらも影響なしでした。
まとめ
ブログを運用されている皆様、一度ご自身のブログのセキュリティを見直しされてみてはいかがでしょうか?
追記
(こんなアクセスよりもPVが伸びるといいなぁ…)
コメント