えびサブレ

変なオタクの備忘録

パソコン

WordPress管理画面のセキュア化

投稿日:2015-10-26 更新日:

webサイトを公開した瞬間から、戦いは始まっている。
ネットのあちこちに身を潜めるスーパーハカーは、常に我々を狙っているのだ。
89095
シュタインズゲートがやりたくなってきました。

最近は物騒な世の中で、webサイトの改ざんがよくニュースになります。特に自鯖はセキュリティガバガバなのが多くて、DDoSやSSH総当たり等の攻撃の踏み台にされていることが多いらしいです。というわけで、ブログのセキュリティを強化します。

※以下、自分がある程度安全かな?と思っている方法であり、乗っ取られない保証はありません。話半分で聞いてください。

WordPressの管理画面

login
デフォルトの設定では、WordPressはログイン画面も管理画面もHTTPで通信します。adminユーザーを削除し、推測されにくいパスワードにするなんてことがよく言われていますが、HTTPでログイン情報を平文で流しているので、100桁のパスワードでもネットワークを盗聴されたらアウトかもしれません。ひとまず2種類の対策が思いつきます。

1. 管理画面との通信を暗号化する(HTTPS)

[利点]
・どこにいてもブログを編集できる
・管理画面へのアクセスをHTTPSに限定するだけなので手軽にできる
[欠点]
・通信路を暗号化しただけなのでログイン情報を知られたらアウト
・WordPressの脆弱性を突かれるとアウトかもしれない

2. 外部から管理画面にアクセスできないようにする(LAN外からのアクセスを拒否)

[利点]
・外部からのアクセスを全拒否するので、WordPressは安全になる。(脆弱性を突かれる可能性も減る…はず)
[欠点]
・自宅にいないとブログを編集できない(致命的)

結論から言いますと、2.に近い方法を採用しました。基本的には1.で十分なんですが、僕はパスワードの使いまわしが大好きで、どっかでパスワードが出回っている可能性があるのでちょっと怖いです。そう思いませんか?ベネッセさん

今回採用したやり方ですが、VPNみたいなものです。WordPressの管理画面へのアクセスは2.のようにLAN内に限定しました。自宅以外でもブログを編集したいので、LAN内にブログ更新用のマシンを置き、外部からRDP( over HTTPS)でアクセスできるようにしました。
VPNでいいじゃないかという疑問が生じると思いますが、どうしても443/TCPが使いたかったんです。大学のファイアウォールがRDPもL2TPも通さないんですよ(‘A`)

外部からhttps://blog.ebiiim.com/wp-admin/にアクセスが来た場合、403 Forbiddenを返します。
err

 

この方法であれば、ブログ更新用マシンに侵入されなければ大丈夫です。逆に、侵入された場合は結構大ダメージです。HTTPSになっているのがWordPressなのか、RDPなのかという程度の違いしかないような気がしますが、狙われる可能性はかなり低くなるはずです。そこらへんのwebサーバを乗っ取って踏み台にしようとする人からすれば、”面倒なので狙わない”という結論に至るのではないかと思います。

詳細について何も書いてない記事になりましたが、RDP over HTTPSでググれば大体載ってます。スーパーハカーの人は何か穴を見つけたら教えてください…

-パソコン
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

Veeam Endpoint Backup でNASにバックアップを取る

NASにパソコンのバックアップデータを突っ込んでいます。NASが壊れた時は諦めます…

シングルリンクDVIは3.7Gbps

IBM T221を買いました。写真の細部を確認するのに使えそうです。

自宅サーバにブログを移転する

サーバにIISとWordPressをインストールし、ブログを移転します。

お買い物レポート: PowerEdge R620

勢いだけで買いました。
反省はしています。

GTX680でモナーコインを掘る!

暗号通貨ブームということで化石グラボで掘ってみました

webmaster

icon
webmaster: えびーむ

Google アナリティクスの統計

アーカイブ

最近のコメント