「【ロリポップ!】不正なアクセスを検知いたしました」に戦々恐々、というお話。

昨日、お世話になっておりますロリポップ様からno-replyなメールが。
そして表題のようなタイトルが。

このブログを始めた頃に書いていた記事の内容のままの出来事がまさか自分に降りかかろうとは!!

WordPress初心者の私にいきなり洗礼が訪れる、という話。

「ロリポップ!レンタルサーバー」への第三者大規模攻撃事件のその後、についてのお話。

以下のような内容のメールが届いたのです……。

綾瀬 みう 様

平素よりロリポップ!をご利用いただき、誠にありがとうございます。

この度、「(私の契約番号的なもの)」のご契約で利用されている
WordPress の wp-login.php に対し、複数回のログイン試行が確認されました。

アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため、
弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております。

お客様ご自身が WordPress にログインするため、
.htaccess を編集しアクセス制限を解除する必要がございます。

おおおおお!!!
う、噂の乗っ取られるやつ!!!

でも内容からして、危機は未然に防がれたっぽい……?
そして私は、現在アクセスを制限されているらしい!?

というのが、私の精一杯の理解でした……。

とにもかくにも、その「.htaccess」とやらを編集しないと、私はブログの更新はおろか中にもいれてもらえないらしい。中の人なのに!

動揺を抑えつつ、「お手数ですが、下記対策マニュアルをご確認いただき対策を
行っていただきますようお願いいたします。」という言葉に従って、「.htaccess」の編集にトライです。

メールに記載されていた「WordPressの.htaccess編集方法」というURLを踏むと、ロリポップ内の説明ページヘ遷移。
実際の画面のキャプチャ画像と共に分かりやすいサジェストが!

簡単に言うと、ロリポップFTPから、「.htaccess」のファイルを開き、そのコード内で書き換わっている部分に、自分のIPアドレスを入れるというものでした。

IPアドレスはロリポップ側で検出してくれているらしく、「これコピペするだけっすよ!」状態で、数秒で終了。簡単じゃん!!

しかーーーし。

また、サーバーやホームページのセキュリティ向上のためには、
ロリポップ!で行っておりますサーバー側の対策に加えて、
ユーザーの皆様にも対策を行っていただくことが重要です。
下記のページをぜひご確認ください。

お、おう……。
でもやっぱり不正アクセスは怖いので。やりましょう!
と、こちらも「サイト改ざんへの対策をお願いいたします – ロリポップ!」なるURLを踏んで遷移。

・WAFを有効にする

いきなり?です……。大人しく説明を読むと、

WAF(ウェブアプリケーションファイアウォール)はこれまでのファイアウォールなどでは防御できなかった攻撃(不正なアクセス)を検知しブロックする機能です。

ということで、しかもロリポップはこれが標準搭載されてるからON-OFFするだけっすよ、とのこと。
これもわかりやすいサジェストで、すぐ該当ページまで辿り着き、しかも知らずのうちにONになってました。
ありがとうロリポップさん!

・CMS ツールは最新のバージョンをご利用ください

これはいつでも最新にしてないと気がすまない私でしたので問題なし。
しかし、次です……。

・パーミッションの設定を正しく行なってください

ぱーみっしょん……。
思えば、私が書いた記事にも何度も登場しているワードでした。
しかしながら避けられないと思い、やっとGoogle先生に尋ね、なんとなくわかった気になりました……。

パーミッションについて

……ロリポップさんいわくそういうことらしいのですが、とにかく「ロリポップはこの数字にしとけばおk」と理解し、変更することに!

……でも、どれがどれだか判別できず……。
「とりあえずディレクトリはこれだよね、htmlはさすがに私でも分かる! あとは.htaccessは…変わってる。CGI? しーじーあい…。Googleせんせぇぇ~!!!!」

という感じで……。なんとなくそれっぽく変更。
今きっと記事を書いているので、大丈夫なんでしょう……きっと。

・WordPressのテーマ・プラグインを利用する際に注意ください
・最新のウイルス対策ソフトを利用する
・FTPやCMS管理画面のパスワードを推測されにくいものにする
・バックアップツールを使って定期的にバックアップを取る

このへんもありましたが、ひとまず現状で大丈夫そうなのでサクッとスルー。
かくして、私の不正アクセス対策は終わったのでした……。

対して理解が深まった感じはしないのですが、前よりちょっとは賢くなったかな?
何事も、経験しないと本当の意味で覚えないのだな、と感じた夜でした。

明日は我が身。不正アクセス対策は万全に!!


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください