不審なアクセスとWP-Banプラグインの導入

WordPressで作成したブログサイトのメンテナンスとしていつものように 404 Not Found 出力を見ていれば不審なアドレスへのアクセス試行が幾つか見受けられたので対処が必要となりました。

先ず一つ目の不審なIPアドレスが得られたのは 2016年10月11日午後0時26分に立て続けに6回のアクセスの試行が記録されていたログからでした。 以下が其のソースURLのリストになります。

  • /admin​/fckeditor​/editor​/
  • /fckeditor​/editor​/
  • /common​/fckeditor​/editor​/
  • /manage​/fckeditor​/editor​/
  • /js​/fckeditor​/editor​/
  • /include​/fckeditor​/editor​/

リファラーは記録されておらず如何にも怪しいアクセス試行です。 大体が運営ブログに上記リストに該当するアドレスは用意してありません。 其処で fckeditor をWikipediaで調べてみると以下の引用の如き記述があります。

FCKeditorはオープンソースのWYSIWYGテキストエディタでWebページ上で使うことができる

また fckeditor​ セキュリティ でネットを繰ってもどうも場合に因っては脆弱性を有する恐れも有り勝ちな情報が目に止まります。 恐らくは、不自由と言うと語弊がありますがWordPress上のエディターより Web上のエディターに特化した此のツールを好んで使用している多くのユーザーが居て 彼等の使用ツールの脆弱性に付け込むべくWordPressを利用しているサイトを見付けては 上のアドレスをクロールして回っている輩ではないかと思われます。

スポンサーリンク

併せてどうやら Googlebot を装うIPアドレスも記録されているのを見付けました。 此のIPアドレスも矢張り無遠慮に2016年10月11日 午後4時11分に 一気に以下のアドレスへの試行を実施した様子がログに記録されていました。

  • /sites​/all​/libraries​/elfinder​/files​/wp-cache.php
  • ​/sites​/all​/libraries​/elfinder​/php​/connector.minimal.php
  • ​/wp-content​/plugins​/wp-cache.php
  • /wp-content​/plugins​/Login-wall-etgFB​/login_wall.php?login=cmd&z3=d3AtY2FjaGUucGh...
  • ​/uploadify​/uploadify.php?folder=​/
  • ​/wp-content​/plugins​/revslider​/temp​/update_extract​/wp-cache.php
  • /wp-cache.php
  • /license.php
  • ​/wp-content​/uploads​/wp-cache.php

ご丁寧にリファラーを www.googlebot.com 、ユーザーエージェントを Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) と記録させてありますが tech.acenumber.com と真っ当なリファラーでは同じIPアドレスで Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0 と真っ当なユーザーエージェントが記録されていたりもします。 elfinder はWeb上でファイル操作をするツールであるらしく此れも導入していませんし 怪しからんことにはログインを試みまでしているのでした。 サイト キーマンズネット では2014年10月29日の記事として Googlebotの「ニセ」Webサイトクローリングをブロックするには? のような情報も共有されており、 当のGoogle社の提供するサイト Search Console のヘルプでは Googlebot かどうかの確認 が用意されていて此の情報に照らし合わせても怪しいこと此の上ありません。

更には日が変わって2016年10月12日の午前0時43分にはリファラーもないまま ​/?author=[ローマ数字] なるアドレスへの試行が[ローマ数字]の部分を1から14迄変えて続け様にログに記録されました。 当該アドレスではWordPressのシステムは該当ユーザーの投稿ページカテゴリへとリダイレクトし 其の際アドレスには投稿ユーザーのIDが表示されます。 投稿ユーザーのIDが判明すれば管理画面へ介入するのにあと必要なのはパスワードのみと敷居が下がりますから 例えば投稿ユーザーIDは秘匿するよう推奨される場合も多く見受けられますから此れも決して好ましいものではありません。

さて、以上の様な怪しき試行があれば其の様な好ましからざるIPは弾くに如くはなしと当該ツールの導入に至る訳です。 此の様なツールも探せば見付かるのがWordPressの良い所かも知れません。 ネットを繰って拾い出したのが以下のWordPressプラグインです。

WP-Ban — WordPress Plugins

最終更新が半年前と少し停滞している気もしますがサイト ネタワン の2013年12月12日に公開され2015年3月22にも更新されている WP-Ban - 指定した接続元IPアドレスをブロックできるWordPressプラグイン には このプラグインが優れている点 として4点挙げられており其の中にも ブロックしたIPアドレスやブロック回数を確認できる のは仕掛けた結果が確認出来て魅力的です。 下図はWordPressの管理画面のプラグイン新規追加でWP-Banにて検索して得られた結果です。

WordPressプラグインのWP-Banによる検索結果

インストールや使い方などは以下サイトなどが案内になるかも知れません。

   

IPアドレスに依り弾くプラグインは他にも見られるので 更に手元の環境と目論見に沿うものが見付かれば入れ替える積りではいますが 取り敢えずは WP-Ban プラグインの設定ページの Banned IPs: 項目に以上で得られたIPアドレスとなお引き続き得られる不審なIPアドレスを設定して 今は様子見をしている状況です。