Studio Happyvalley

サイト改ざん野郎を
ぶっ飛ばせ

アクセスログ解析を基本とする
ワードプレスのサイト改ざん対策

image: サイト改ざん野郎をぶっ飛ばせ
Blow away the hackers

サイト改ざん被害もますます増加
怪しいアクセスも増えてきたぞ。

 | 2023/01/19

毎日のアクセスログ監視とこまめな対策が重要

サイト改ざん対策とはいってもセキュリティホール対策や、REST-API対策などたくさんあります。
また、当サイトはwordpressで構築しています。そのため、今回はアクセスログを使ったwordpressのセキュリティ対策に絞ってお話します。
さて、セキュリティの基本はアクセスログの解析です。どんな悪質なハッカーもログを残さずにサイトにアクセスすることはできないからです。
毎日のアクセスログを解析し怪しいIPをあぶりだします。そのためにはIPアドレスを取得できる手法が必要になります。
最も手堅い方法はアクセスログ取得プログラムを設置しデータを解析することです。
同じログ解析のGoogle アナリティクスはデフォルトではIPアドレスを表示できないので役に立ちません。
同じくレンタルサーバーのサーバーログも全てのリクエストを記録するので使い勝手が悪いです。一回のアクセスでも50行くらい記録してしまいます。
そのため自前のプログラムでheader.phpが表示されたときだけログを記録するなど最適化する方が効率よく対策できます。
アクセスログを取得する言語はphpでもperlでもなんでもいいです。できれば自前のプログラムの方がカスタマイズが好きにできるのでお勧めです。
自前の場合、高度なプログラムは不要なので2~3日勉強すれば作れると思いますし、あるいは無料の公開されているプログラムで十分です。

ログ取得プログラムが設置できれば準備は完了です。あとは怪しいIPを探し出すだけです。

犯罪者IPの行動パターンを解析しIPアクセス制限が基本

wordpressのセキュリティ対策でもっとも効果があるのは管理画面など、通常ユーザーには必要ないディレクトリへのアクセスをブロックすることです。
会員制サイトや一般ユーザーからのコメントを許可している場合などもWEBロールを設定することで対応できます。
ただし、スマホはモバイルデータ通信時のIPアドレスが変動しますので万全ではありません。
なので地道ですが、日々、怪しいアドレスを調べブロックする必要があります。もちろんハッカーはIP偽装でIPを随時変更してアクセスしてきますので万全ではありませんが効果は大きいです。また、パターンを記録できるのも対策として非常に有効です。
さて、ログ解析にはエクセルが一番です。エクセルを使ってWEB上のログファイルをDLします。
上部タブの「データ」の「リボン」メニューから「WEBから」をクリックします。これでネット上のアクセスログファイルからデータを読み込むことができます。
※DL先のディレクトリのCORSを許可しておく必要があります。
これでUTF8のファイルも文字化けせずに読み込めます。
読み込んだらまずはHTTPステータスコードが404のIPをリストアップします。
たとえば↓サンプルログデータ

StatusRequestURI
404/wp-includes/id3/license.txt/?author=1
404/wp-includes/id3/license.txt/wp-json/wp/v2/users/
404/.git/config
404/dx/DHL

まず、Google や自分のIPなどはあらかじめ弾いておきます。
さっそく、開始です。RequestURIを見ます。
たとえば?author=**とあるのは黒です。user一覧を取得しようとするハッカーの常套手段です。
また、/dx/DHLも当事業所の黒リストにあるので真っ黒です。
当事業所はサイト改ざん復旧も業務にしていますのでかなりの黒IPデータベースがありそれに照らし合わせて怪しさを判定しています。
他にも、怪しいIPをデータベース化しているサイトAbuseIPDB:https://www.abuseipdb.com/などで調べるのも重要です。

WEBの基本は疑わしきは罰する

判定に迷う場合もあります。そういう場合は、そのIPのページ遷移で調べます。
たとえば↓サンプルログデータ(同一IPのページ遷移データ)

DateIPTitleStatusRequestURI
22:57:57106.184.49.192サイトにハッピィを充電。200/
22:57:58106.184.49.192基本は話すこと。200/contact/
22:57:58106.184.49.192MW‐WPFORM確認画面へ移動しない悩み解決200/webhealer/fix_mwwpform_bugs/
22:57:59106.184.49.192基本は話すこと。200/contact/?refpage=fromtop
22:57:59106.184.49.192ページが見つかんないよ404/company/
22:57:59106.184.49.192個人情報の取り扱いについて200/privacy/
22:58:00106.184.49.192ページが見つかんないよ404/info/
22:58:00106.184.49.192ページが見つかんないよ404/outline/

TOPにアクセス後1秒後には問合せフォーム、そのあとも1秒で各ページへ遷移。この場合、ハッカーではないかもしれないけど、たった1秒でページを渡り歩くようなユーザーには来てほしくないよね。しかもほとんど問合せページだしね。なのでブロックです。
webの基本は疑わしきは罰するなのです。
※通常短時間に大量のページを周回するのは、ほぼサーチロボットだと思いますが、Google以外は不要なので。

IPアドレスのブロック方法

IPアドレスも馬鹿正直に1個だけでは弱いです。怪しいログを調べると大体 例:123.456.789.001 の789.001の部分が随時変動している場合が多いです。
なので『123.456.』として123.456.以下すべてブロックします。ここでも疑わしきは罰するです。
ブロックしているIPは数百個になりますが。多すぎかもしれないので定期的に見直しています。
ただ、PageSpeedInsightsではPCスマホ両方100点なのでロード時間の問題はないと思われます。

怪しいIPをデータベース化しているサイトAbuseIPDB:https://www.abuseipdb.com/

WEBサイトを守るためには 日々のこまめな対策が大事。

『サイト改ざん野郎をぶっ飛ばせ』関連のお薦め

このページで紹介しているプログラムやビジュアルなどご依頼いただければ実装を賜ります。
お問い合わせはこちら

Permanent Exhibition