カテゴリー
plugin Synology WordPress

[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策

[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策
スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID23293
  • by Google Ads ID:11143(2)
  • by Google Ads ID24747

ID4929 [2021/09/17]

スポンサーリンク
by Google Ads ID8603

はじめに

自前NASWordPressを導入してblogを発信していることを前提にしています。Synology NAS/Routerには、それぞれのマシンのログインや、Synologyが独自で提供する各種サーバーの守りは、それぞれのOS (DSM/SRM)で完結できます。しかし、WordPressは独自に守る必要があります。そのために、WordPressのためのプラグインが存在しています。

これまで、たとえば、スパム・コメントの対策には、「Throws SPAM Away」にお世話になっていました。その役割も、僕の知識も変化・発展したことで、reCaptchaなるGoogleが提供するセキュリティ対策へと移行しています。更に、冒頭で述べたように、WordPress自体を守るために、新たなプラグインとして「Statify」、「SiteGuard WP」を更に導入しました。

注) Throwは野球でいう「スローイング」のスロー、投げるの意。

スポンサーリンク
  • Synology DS517 by Amazon ID:22173
  • Synology DS920+ by Amazon ID:22172
  • オムロン BY50S用パック by Amazon ID:22171
  • オムロン BY50S by Amazon ID22170
  • Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac by Amazon ID24327
  • エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタ ホワイト LD-GPA/WH5 by Amazon ID24327

試したプラグイン

スポンサーリンク
by Rakuten ID:15895

reCAPTCHAで試したのは、2つ。一つ目の「reCAPTCHA in WP comments form」は、コメントの送信ができなかったので使えず、使えたのは2つ目の「reCaptcha by BestWebSoft」を稼働させることにした。

  • reCAPTCHA in WP comments form
    • 8ヶ月前のupdateで、互換性テストがされておらず、結果的には、コメントの送信ができなかったため、使用できなかった。
  • reCaptcha by BestWebSoft
    • Pro版もあり、メンテナンスはされています。Pro版でない無料版のまま使用することにした

プラグイン

reCAPTCHA in WP comments form

reCAPTCHA in WP comments form

reCAPTCHA in WP comments form is an ANTISPAM tool that adds a Google reCAPTCHA to the comments form and protects your site from the spam robots threat …

Joan Miquel Viadé

reCaptcha by BestWebSoft

reCaptcha by BestWebSoft

Protect WordPress website forms from spam entries with …

BestWebSoft

Throws SPAM Away

日本語が含まれないコメントは、強制的にコメント送信しても廃棄するプラグインです。現在は使用していません。

Statify

Statifyの機能

「Statify」は、サイトのアクセス数をカウントしてくれるプラグインです。純粋なページへのアクセスに関して「Google Analytics」は、詳細なレポートを示してくれます。Statifyを導入する意義を確認するためにStatifyとの比較をしたところ、結果が異なっていました。Statifyでは、/login/へのアクセスがカウントされていたのに、Google Analyticsではカウントされていなかったのです。

/login/へのアクセスは、私が知らないアクセスでした。不正なアクセスを試みているものと判断できました。Statifyをインストールして約半日の集計で、すごい勢いでアクセス数が増えるのが観察されました。その反日での結果、/login/のアクセス数は、200を超えました(下図に205とある項目)。少し愕然としました。そんなにアクセスを試みるハッカーがいるものだと。「Statify」を、セキュリティ対策プラグインとして採用することにしました。

わかったこと

  • Google Analyticsは、善意の第三者がページを閲覧することを前提にしたページモニタリング・ツールである。すなわち、Statifyがカウントするログインページのカウントはない。
  • Statifyは、アクセスした数を実直にカウントしてくれる。すなわち、ログインページのカウントもしてくれるので、セキュリティ対策としてのモニタリング・プラグインとして使用が可能と判断した。

SiteGuard WP

SiteGuardの機能

Statifyが示した愕然する程のログイン画面への多数のアクセス数、この結果を受けて調べました。デフォルトのログイン・リンクは変更すべきなのです。プラグインを使用せずに、PHPファイルにコードを加える方法でも可能なのですが、30行から50行程度のコード追加が必要です。メンテナンスが大変そうなので、プラグインで対応することにしました。

「SiteGuard WP」は、デフォルトである/login/を、安易に想像できないパーマ・リンクに設定する機能を持っています。SiterGuard WPをインストールした途端、即時に/login/をランダムな数で修正するので、当然ですが、その瞬間から/login/へのアクセスの増加は無くなりました。変更後のパーマ・リンクのアクセスのカウントもモニターされていません。「SiteGuard WP」を、セキュリティ対策プラグインとして採用することにしました。

上記の機能と説明について、以下に捕捉します。

  • ログインページ変更
    • /login/のデフォルトから変更
  • 画像認証
    • bot対策です。かな文字を画像として表示して、それを入力するように促す機能

以上のSiteGuardによるログイン・ページの変更だけで不正ログインを試みる事例は、一時期極端に減少しました。しかし、運用開始から1週間後の夜中から今日の朝方にかけて約8時間程度で、3つのIPアドレスからの3,000回以上で、WordPressログイン画面に対してアタックを受けました。このログは、SiteGuardの「ログイン履歴」からわかったことです(下図参照)。Google Analyticsではカウントされ無いものです。

  • XMLRPC防御
    • XMLRPC (XML形式のデータを使いHTTPの通信、RPC: remote procedure call)は、WordPressが開発された当時が実装されているログインしたりリモート制御したりするときに使用する通信機能の1つですが、現在ではREST APIというものに置き換えられています。
    • XMLRPCには全弱性があるため無効にすべきです。
    • XMLRPCにある1つの機能であるピンバック機能のみを無効化するか、XMLRPC全体を無効にするか、いずれかを選ぶことができます。

WordPressのxmlrpc.php詳細ガイド(xmlrpc.phpとは、セキュリティリスク、無効にする方法)- kinsta –

https://kinsta.com/jp/blog/xmlrpc-php/

ロックは完璧

以下の図は、ログ画面の一部です。内容を確認してみると、3つのIPアドレスからの不正なログインアタックが記録されているのが分かりました。下図の例では、3回失敗した後は、ロックされる設定にしているため、その後のアクセスはロックされているのが分かります。

次の対策

念の為、危険なIPアドレスを知った後の処置です。自前のSynology NASまたはSynology RouterがGeteになっているなら、ファイアウォールの設定をしておきます。完全に「出禁」に設定してしまうのです。

スポンサーリンク
by Google Ads ID19417

Synology NAS/Routerの場合は、下図を参考にして、以下の通りで設定します。

  1. コントロールパネル (Synology Routerの場合; ネットワークセンター)→ セキュリティ → ファイアウォール (タグ)
  2. ファイアウォール プロファイル → 規則の編集
  3. 「作成」をクリック
    • 全てのポート
    • 特定IP → ソースIP → 単一ホスト(を設定)
    • 拒否
  4. OKで登録

以上の手順で、危険と思われるIPアドレスをファイアウォールに登録しました。しばらくは、この方法で運用して様子を見てみます。

まとめ

コメントのスパム対策から始めたこの記事でしたが、それではサイトの守りはままならないことがわかってきました。AMPプラグインとの相性の問題から、一部のページの守りには、reCaptcha を使えています。しかし、ログイン・ページの守りは、これまでは不十分でした。純粋にアクセス数をカウントする「Statify」プラグインの導入をきっかけに、「SiteGuard WP」プラグインと併用することで、ログイン・ページの守りを強固なものにすることができます。確認された危険なIPアドレスはファイアウォールに拒否リストとして登録します。しばらくは、この運用で様子を見てみます。

編集履歴

2019/12/25,はりきり(Mr)
2021/01/07,追記(Statify, SiteGuard WPをセキュリティ対策プラグインとして採用)
2021/01/23,追記(WPへの不正アクセス試行を発見し対処する方法)
2021/09/17,追記(XMLRPC防御について),文言整備
スポンサーリンク
  • by Amazon ID13339
  • by Amazon ID19245
スポンサーリンク
  • 【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式 金属製 HPFD796L-128 GJP by Amazon - ID 24751
  • 3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
  • 3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511
  • ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
  • zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751
スポンサーリンク

用語の解説、関連タグ付き投稿の抽出

Google

[WordPress] Google Adsense導入 – 必要な手順とセッティング – 広告プラグインを選ぶ – 運用の実際 – ID9539 [2021/01/04]
[WordPress] Google AdSense登録の手順 ID8940 [2020/08/24]
[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策
検索[する] – ID23 [2021/01/26]

reCAPTCHA

[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策

WordPress

[WordPress] 2020年初心者ガイダンス・WordPressを構築し快適に運用するための必須プラグイン一覧 (2020/03/10現在) – ID10673
[WordPress] Google Adsense導入 – 必要な手順とセッティング – 広告プラグインを選ぶ – 運用の実際 – ID9539 [2021/01/04]
[WordPress] Google AdSense登録の手順 ID8940 [2020/08/24]
[WordPress] アバターを作る方法 – Gravatar – ID8936 [2020/02/09]
[WordPress] 初期設定でblogサイトに作ってしまったサブディレクトリを外す方法 – Google AdSenseには、サブディレクトリは不要 – ID8814
[WordPress] Flex Posts – Widget and Gutenberg Block プラグイン – Gutenberg エディター対応 – ID8804

スパム

[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策
[WordPress] SPAM Management – Throws SPAM away プラグイン – スパムコメントの排除 – ID4016

セキュリティ

[Synology] NASのセキュリティを強化する方法のリンク
[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策
[Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – ID3461 [2021/05/15]
[Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件 – ID2861
スポンサーリンク
  • by Google Ads ID:11143(2)
  • by Google Ads ID:11145
  • by Google Ads ID24747
  • by Google Ads ID23293

Update ID21920

BIOLOGICS, Lab
[Bio-Lab] QPix400 Imager 全自動微生物コロニーピッキングシステム – ID18403 [2020/06/03]

Post Views: 49 QPix400 複数枚の培養プレートに対応し多検体処理が可能。 サイトの説明から。モレキュラーデバイスの全自動微生物コロニーピッキングシステムでは、マーカーを事前にスクリーニングし、希望する […]

BIOLOGICS, Lab
[Bio-Lab] グラスファイバーフィルター 接着剤使用, AP20, 55 mm – ID16692 [2020/06/03]

Post Views: 45 ラボ製品-グラスフィルター グラスフィルターは、タンパク質の非特異吸着が多いため、用途には気を付ける。具体的な用途としては、大腸菌で産生させたInclusion body状のタンパク質のRe […]

BIOLOGICS, Lab
[Bio-Lab] Alexa Fluor® 488 色素 – ID16697 [2020/06/03]

Post Views: 50 ラボ製品-標識試薬 Alexa Fluorはタンパク質に傾向標識する試薬キットである。 精製したタンパク質を使って、細胞を用いた評価系で評価をしたい場合、タンパク質の標識に使用する サイトの […]

スポンサーリンク
by Google Ads ID19417

更新された投稿の最新順

スポンサーリンク
  • by Amaozn ID13196
  • by Amazon ID13211
スポンサーリンク

スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID:11143(2)
  • by Google Ads ID24747
  • by Google Ads ID23293

最新記事(WPプラグイン,ID:14818)

plugin, site setting, WordPress
はりきり(Mr)のプログ・書き方のスタイル – 適当にやっているように見えても最終目的はブレないスタイルはある – ID30216 [2021/05/30]

Post Views: 49 目次1 はりきり(Mr)のブログ・メンテナンス・スタイル2 編集履歴 はりきり(Mr)のブログ・メンテナンス・スタイル 適当です。毎日、決まった時間に発信することはありません。ボリュームもま […]

plugin, WordPress
[WordPress] [link] 記事表示のカスタマイズ – パンクズリストを表示させる – ID30029 – [2021/05/19]

Post Views: 29 パンクズリスト パンクズリストは、サイトで移動した履歴です。表現形態は、フォルダーのパスのようなものです。 パングスリストをサイトに表示させる方法が、「kinsta」に解説されています。方法 […]

スポンサーリンク
by Google Ads ID19417
plugin, site setting, WordPress
Plugin Maintenance – AMPサイトでのプラグインの運用評価を記録 – ID28378 [2021/04/04]

Post Views: 38 All in One SEOプラグイン (2021/03/13) メタディスクリプション記述のみに使用していたが、このプラグインから依存を完全になくすために、まずは、その記述内容を抜き出し、 […]

Page: 1 2 20
スポンサーリンク

スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID24747
  • by Google Ads ID23293
  • by Google Ads ID:11143(2)

最新記事(WordPress, ID:14681)

site setting, Synology, WordPress
[Synology] RT2600ac – FAQ – アクセスログが残っていない – ID30977 [2021/08/12]

Post Views: 15 RT2600ac管理FAQ アクセス・ログが残っていない 考えられる理由は以下の通り ログの保管場所が設定されていない 外部メモリ(SDカード、USBメモリ)を変更した 編集履歴 2021/ […]

plugin, site setting, WordPress
はりきり(Mr)のプログ・書き方のスタイル – 適当にやっているように見えても最終目的はブレないスタイルはある – ID30216 [2021/05/30]

Post Views: 49 目次1 はりきり(Mr)のブログ・メンテナンス・スタイル2 編集履歴 はりきり(Mr)のブログ・メンテナンス・スタイル 適当です。毎日、決まった時間に発信することはありません。ボリュームもま […]

plugin, WordPress
[WordPress] [link] 記事表示のカスタマイズ – パンクズリストを表示させる – ID30029 – [2021/05/19]

Post Views: 29 パンクズリスト パンクズリストは、サイトで移動した履歴です。表現形態は、フォルダーのパスのようなものです。 パングスリストをサイトに表示させる方法が、「kinsta」に解説されています。方法 […]

WordPress
[WP] Ultimate MemberをSimple WP Membershipに変更 – ID29745 [2021/05/13]

Post Views: 33 目次1 はじめに2 編集履歴 はじめに WordPressサイトでメンバーシップ機能を実現するプラグインの話です。Ultimate Member (UM) プラグインについては、当サイトをい […]

security, Synology, WordPress
[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – ID28980 △[2021/08/01]

Post Views: 38 目次1 はじめに2 ルーチンワークの概要3 ルーチンワークの詳細3.1 Threat Preventionの操作3.2 ネットワークセンターの操作4 Alert4.1 ET POLICY O […]

plugin, site setting, WordPress
Plugin Maintenance – AMPサイトでのプラグインの運用評価を記録 – ID28378 [2021/04/04]

Post Views: 38 All in One SEOプラグイン (2021/03/13) メタディスクリプション記述のみに使用していたが、このプラグインから依存を完全になくすために、まずは、その記述内容を抜き出し、 […]

スポンサーリンク
by Google Ads ID19417
Page: 1 2 24
スポンサーリンク

スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID24747
  • by Google Ads ID23293
  • by Google Ads ID:11143(2)

最新記事(Synology, ID:14676)

site setting, Synology, WordPress
[Synology] RT2600ac – FAQ – アクセスログが残っていない – ID30977 [2021/08/12]

Post Views: 15 RT2600ac管理FAQ アクセス・ログが残っていない 考えられる理由は以下の通り ログの保管場所が設定されていない 外部メモリ(SDカード、USBメモリ)を変更した 編集履歴 2021/ […]

スポンサーリンク
by Google Ads ID19417
security, Synology, WordPress
[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – ID28980 △[2021/08/01]

Post Views: 38 目次1 はじめに2 ルーチンワークの概要3 ルーチンワークの詳細3.1 Threat Preventionの操作3.2 ネットワークセンターの操作4 Alert4.1 ET POLICY O […]

network, Synology
[Synology] DS918+/DS920+の2つのネットワークインターフェースを一つに束ねると通信速度を速くできるらしい – でも、Windowsとのファイル転送(SMB)で遅くなったのはなぜ? – ID29535 [2021/05/01]

Post Views: 39 目次1 はじめに1.1 Bondの作成1.2 SMBによる転送速度が遅くなった!?2 解決3 まとめと今後4 編集履歴 はじめに Bondの作成 DS918+/DS920+には、2つのLAN […]

folder, Synology
[WP] ブログにおけるメタディスクリプションの意義と設定方法 – ID28775 [2021/03/14]

Post Views: 47 目次1 はじめに2 メタディスクリプションの機能3 メタディスクリプションの設定4 お勧めのプラグイン5 編集履歴 はじめに メタディスクリプションは、検索エンジンで表示されるページの1つの […]

app, Synology
[Synology] 写真の管理 / Photo Station & Moments はDSM 6用 – ID26326 [2021/08/01]

Post Views: 52 目次1 はじめに1.1 必要なもの2 補完的に活用する3 バックアップ4 Windows10のiCloudフォトからバックアップを取る5 MomentsからPhoto Stationのフォル […]

plugin, Synology, WordPress
[WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン「WP Super Cache」で再構成した △- [2020/12/11]

Post Views: 42 ID22640 目次1 はじめに2 ページのAMP化のみでもレスポンス改善は十分高い3 キャッシュプラグインを追加する4 プラグインは専用機能がいい4.1 WP Super Cacheの設定 […]

Page: 1 2 21
スポンサーリンク

スポンサーリンク
  • by Google Ads ID23293
  • by Google Ads ID:11143(2)
  • by Google Ads ID24747
  • by Google Ads ID:11145

その他記事(ALL-RANDOM, ID:16786)

plugin, WordPress
[WordPress] 会員限定ページや会員のみが閲覧できるページやページ内のブロックを作る – 調査編 – ID3866 [2019/12/08]

Post Views: 49 目次1 はじめに2 はじめに3 必要な機能(要求仕様) はじめに 調査を結果、Ultimate Memberプラグインをインストールしています。 当サイトは、Ultimate Memberプ […]

BIOLOGICS, key-word
[用語] HEK293細胞 – その他派生種の概説 – ID24370 [2020/12/22]

Post Views: 58 目次1 HEK293細胞2 派生種2.1 HEK293T2.2 HEK293H2.3 HEK293E2.4 HEK293S2.5 HEK293F2.6 HEK293FT2.7 HEK293F […]

BIOLOGICS, culture
[Bio-Edu] Man5化抗体 (mAb)のPKクリアランスは2倍高い – ID18368 [2020/07/04]

Post Views: 53 目次1 論文の概要2 参考文献 論文の概要 ほとんどの抗体のアミノ酸位置297(Fc)にはグルコシル化部位がある グリコシル化のパターンによっては、薬物動態(PK)、薬力学(PD)に影響を与 […]

スポンサーリンク
by Google Ads ID19417
スポンサーリンク

スポンサーリンク
by Google Ads ID:11143(2)

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block