次の対策
念の為、危険なIPアドレスを知った後の処置です。自前のSynology NASまたはSynology RouterがGeteになっているなら、ファイアウォールの設定をしておきます。完全に「出禁」に設定してしまうのです。
Synology NAS/Routerの場合は、下図を参考にして、以下の通りで設定します。
- コントロールパネル (Synology Routerの場合; ネットワークセンター)→ セキュリティ → ファイアウォール (タグ)
- ファイアウォール プロファイル → 規則の編集
- 「作成」をクリック
- 全てのポート
- 特定IP → ソースIP → 単一ホスト(を設定)
- 拒否
- OKで登録
以上の手順で、危険と思われるIPアドレスをファイアウォールに登録しました。しばらくは、この方法で運用して様子を見てみます。
まとめ
コメントのスパム対策から始めたこの記事でしたが、それではサイトの守りはままならないことがわかってきました。AMPプラグインとの相性の問題から、一部のページの守りには、reCaptcha を使えています。しかし、ログイン・ページの守りは、これまでは不十分でした。純粋にアクセス数をカウントする「Statify」プラグインの導入をきっかけに、「SiteGuard WP」プラグインと併用することで、ログイン・ページの守りを強固なものにすることができます。確認された危険なIPアドレスはファイアウォールに拒否リストとして登録します。しばらくは、この運用で様子を見てみます。
編集履歴
2019/12/25,はりきり(Mr) 2021/01/07,追記(Statify, SiteGuard WPをセキュリティ対策プラグインとして採用) 2021/01/23,追記(WPへの不正アクセス試行を発見し対処する方法) 2021/09/17,追記(XMLRPC防御について),文言整備