プラグインWP-CerberでWordPressのセキュリティ対策

WP Cerber Security, Anti-spam & Malware Scan

早速サイトをフルスキャン

「WP-Cerber→サイトの整合性→セキュリティスキャナー」からスキャンを行います。スキャンの後「チェックサムの不一致」という警告が表示されました。

「チェックサムの不一致」をクリックしたら、

/ドメイン/public_html/wp-content/languages/plugins

にある

akismet-ja.po

がダメらしい。

The contents of the file have been changed and do not match what exists in the official WordPress repository or a reference file you have uploaded earlier. The file may have been altered by malware, infected by a virus or has been tampered with.

（ファイルの内容が変更されており、公式のWordPressリポジトリまたは以前にアップロードした参照ファイルに存在するものと一致しません。ファイルはマルウェアによって変更されているか、ウイルスに感染しているか、改ざんされている可能性があります。）

と表示されました。良く分からないしプラグインAkismetは使っていないのでこのファイルは削除しました（→WordPressをバージョンアップしたら元に戻りました…）

ちなみに、他のスキャン結果はどうでも良いのばかりでした。
重大なことだとちゃんと感知してくれそう。

アクティビティをチェック

ダッシュボードを開きます。

「アクティビティ」を開くと【サイト乗っ取りに必死な方々】のアクセスがずらっと表示されます。

「脆弱な PHP コードの調査」を見ていくと敵がどういう風に攻撃しているのかが良く分かります。たとえば、これらのファイルはもちろんのこと、

/conflg.php
/index.php
/installer.php
/xmlrpc.php
/wp-content/admin.php

当てずっぽうに脆弱性を探しているケースが多かったです。
WordPressのサーバー上には必要以外のファイルは置かない方が良いですね。

/0.php
/1.php
/a.php
/m.php
/w.php
/hello.php
/check.php
/test.php
/mini.php
/readme.php
/shell.php
/.ftp.php
/3index.php
/theme.php
/wp-logout.php

プラグインの脆弱性狙い。

/plugins/ioptimization/IOptimize.php

/plugins/system/xtp.php

/plugins/super-forms/uploads/php/index.php

テーマの脆弱性狙い。WordPressデフォルトテーマ「twenty」の404狙いがとても多かったです。

/wp-content/themes/twentyseventeen/404.php

オープンソースのCMSソフト Joomla! の脆弱性狙い。

/libraries/joomla/template/mark.php

/libraries/joomla/template/mide.php

Joomla!の古いモジュール狙い。使っていなくても敵はいきなり狙ってくるようです。

/modules/mod_simplefileuploadv1.3/elements/w.php

joomlaのテンプレートの脆弱性狙い。だから使ってないってば！

/templates/beez3/jsstrings.php

なんでこんなの探すんだろう。笑えるけど不気味。

/zbnr-hp.com.zip

/https://zbnr-hp.com/

この人こわいー。「wp-config.phpファイル」の末尾を変更しながら延々と20回ほどチャレンジしていました。

/wp-config.php.1
/wp-config.php.a
/wp-config.php.cust

思わず「149.202.238.192/255」と「204.238.202.0/24」のIPを拒否しました（後述）

IPアドレスをアクセス拒否

拒否したいIPアドレスをクリックするとこのような画面が表示されます。
「IPをブラックリストに追加する」もしくは「ネットワークをブラックリストに追加する」をクリック。

IPが追加されました。もしくは「アクセスリスト」を開いて直接IPアドレスをコピペして「Add Entry」をクリックしても追加することができます。

メイン設定

「ログイン試行回数制限」などを設けることができます。

この項目は全てONにすると良いかと。

「ダッシュボードのリダイレクトを無効化」してログインページへの自動リダイレクトを無効にしたり、「wp-login.php にアクセスしてきた IP を即ブロック」したり、「404ページをアクティブテーマから404テンプレートを使用」してより安全性を高めることができます。

次の章では「カスタムログインURLを設定」することによりログインURLを変更することができます。また「wp-login.php へのアクセスをブロック」することも可能。

Anti-spam

ReCAPTCHA を設定することができます。ReCAPTCHA とはログインの時に横断歩道やバスなどの写真を選択するアレのこと。設定の前に Google reCAPTCHA でサイトキーとシークレットキーを取得する必要があります。

設定

「サイトの整合性→設定」からも色々と設定できるようですが良く分かりません…

有料の項目

「予約中」「クリーニング中」は有料のようです。

後書き

WordPressやPHPなどにまだ慣れていない初心者さんから、中級・上級の人まで使えるプラグインだと思いました。見やすいし「どうやって攻撃してくるのか」を詳しく知ることができました。あとはちゃんと最新のWordPressとプラグインを使えば結構完璧かと。

しかし、結局のところ当プラグインは削除しちゃいました。
たまにサーバーのアクセスログやエラーログで確認してIPを拒否していけば良いかなあ。

• ログインURLは.htaccessで設定
• wp-config.phpファイルも.htaccessで拒否設定
• ログイン試行回数制限などはサーバーで設定
• プラグインのスキャン機能にちょっと疑問
• データーベースの容量を取る
• 自動的にIPブロックしてくれる機能もあるけどキリがないし重くなりそう

プラグインを削除すると.htaccessに少し残ります。たった2行ですが気が向いたら時に消しておくと良いです。

# BEGIN WP CERBER GROOVE
# END WP CERBER GROOVE