序章

ホスティングサービスを介してWordPressのインストールを実行することは、Webサイトを開始するための便利な方法ですが、トラブルシューティングが難しい場合があるセキュリティの脆弱性がないわけではありません。 ブルートフォース攻撃は、ログインやパスワードなどの個人情報を推測してアクセスするために迅速に機能するサイバー攻撃であり、これらの脆弱性が悪用されると発生します。 ブルートフォース攻撃はあらゆる脆弱性の範囲内に置かれる可能性があり、Webサイトから発生することもあります。

DigitalOceanのドロップレットからのブルートフォース攻撃に直面した場合、脅威を迅速に取り除くことが不可欠です。 攻撃に対して脆弱な侵害されたファイルを特定して削除する方法はいくつかありますが、このチュートリアルは、将来の脆弱性からDigitalOcean Droplets全体でWordPressのインストールを検出、解決、保護するのに役立ついくつかの手順を提供することを目的としています。

ステップ1—ブルートフォース攻撃の原因を特定する

ドロップレットから開始されたブルートフォース攻撃の問題をトラブルシューティングする最初のステップは、悪意のあるトラフィックの原因となっているマルウェアを特定することです。 利用できるツールとオプションは多数ありますが、ClamAV( http://www.clamav.net/ )は、マルウェアを最初に特定して削除するための優れたツールです。

ほとんどのLinuxディストリビューションのパッケージ管理システムにはClamAVが含まれており、通常はClamAVをインストールして実行する必要があります。

  • Ubuntu、Debian、およびほとんどのDebianベースのディストリビューションでは、以下を実行できます。
  1. sudo apt-get install clamav clamav-daemon
  • CentOS 8の場合、Fedoraプロジェクトでサポートされているパッケージの公式リポジトリであるEPEL( https://fedoraproject.org/wiki/EPEL )リポジトリを有効にしてから、ClamAVをインストールする必要があります。

あなたは単一のコマンドでそうすることができます:

  1. dnf --enablerepo=epel -y install clamav clamav-update

ClamAVをインストールすると、次のコマンドでシステムをスキャンできます。

  1. clamscan --infected --recursive /path/to/wordpress/sites

強調表示されたパスをWordPressサイトの正しいパスに置き換えます。 --recursiveパラメーターは、コマンドがサブディレクトリを介して再帰するように構成されていることを確認します。この例で使用したパスは、すべてのWordPressインストールが配置されているルートフォルダーを指します。 このように、1つのコマンドですべてのWordPressサイトをスキャンできます。 ClamAVは、疑わしいと判断したすべてのファイルのリストを返しますが、まだアクションを実行しません。 ClamAVが疑わしいと検出したファイルを調査し、システムにさらに損傷を与えることなく安全に削除できることを確認した後、--removeオプションを指定してコマンドを再実行し、感染したファイルを削除することをお勧めします。

ノート:
--remove will delete any files it finds suspicious with no input from you, so it is NOT RECOMMENDED to run with --remove as your first scan until you can confirm the results.

ClamAVがマルウェアを検出しない場合は、マルウェアを手動で調査して検出する必要があります。 これを行うにはいくつかの方法がありますが、ファイルのタイムスタンプ情報に基づいて、最近アップロードされたファイルを見つけて識別することから始めることをお勧めします。

これを行うには、「find」コマンドを使用します。

  1. find /path/to/wordpress/site -mtime -DAYS

このコマンドを使用するには、/path/to/wordpress/siteをWordPressサイトへのファイルパスに置き換え、-DAYSを何日前に戻すかを置き換えます。 たとえば、1日を振り返りたい場合は、-1になります。 10日間を振り返ると、-10になります。

時間をかけて、気づいていないアップロードまたは変更されたファイルを調査してください。

ステップ2—WordPressのインストールを更新する

マルウェアを特定したら、悪意のある攻撃の再発を防ぐための次のステップは、WordPressのインストールを更新することです。 WordPressとインストールされているテーマまたはプラグインにパッチを適用して、プラグインまたはテーマのインストールディレクトリに侵害があった場合に、そのプラグインまたはテーマを削除して再インストールしたことを確認することをお勧めします。 すべての悪意のあるファイルを削除できる可能性がありますが、ほとんどの場合、侵害されたコンポーネントをクリーンインストールすることをお勧めします。

ほとんどの場合、WordPressの管理UI内からこれらの更新を実行できます。これには、追加のツールを使用する必要はありません。 WordPressは、Webサイトが新たに発見されたセキュリティ問題に対して脆弱である可能性がある時間を短縮するために、有効にすることをお勧めする自動更新オプションも提供します。

悪意のある攻撃を防ぐためのもう1つの役立つアドバイスは、非アクティブとしてマークされているコンポーネントも含め、すべてのコンポーネントを更新することです。 状況によっては、無効にされたプラグインやテーマでさえもアクセス可能であり、更新されない場合は危険にさらされる可能性があります。 テーマやプラグインが必要ないと確信している場合、最善の行動はそれを完全に削除することです。

場合によっては、テーマまたはプラグインが作成者によって放棄され、最新バージョンがインストールされているときに、プラグインまたはテーマに修正されていない問題が発生することがあります。 この場合、現在更新されているが、それでも妥協の原因となった放棄されたコンポーネントを置き換えるための他のオプションを検討する必要があるかもしれません。

ステップ3—悪意のある攻撃からWordPressのインストールを保護する

悪意のあるファイルを削除し、すべてのコンポーネントが更新されていることを確認したら、WordPressのインストールを保護します。 次のステップとして、管理UIにアクセスできるユーザー、特に完全な管理者権限を持つユーザー、またはファイルの内容をアップロードまたは変更する機能を持つユーザーのすべてのパスワードを変更することをお勧めします。

現在の構成を認識していない場合にファイルシステムのアクセス許可を確認することも、WordPressのインストールを保護するための重要な手順です。アクセス許可が間違っていると、意図しないファイルの読み取りおよび書き込みアクセスが許可される可能性があるためです。 WordPressは、設定がどうあるべきか、そしてそれらを更新する方法ここの良い概要を提供します。

Dropletのインストールを保護するための手順として、プラグインをインストールしてログイン試行の失敗回数を制限することもできます。これにより、ブルートフォース攻撃のリスクが大幅に軽減されます。 wp-limit-login-attempts プラグインは、よく使用されるオプションです。

最後に、JetpackWordfenceなどのWordPressセキュリティプラグインの使用を検討してください。 これらのプラグインは、侵入の試みに積極的に対抗し、セキュリティの最終層を提供して、サイトが意図した目的にのみ使用されるようにします。

JetpackやWordfenceなどのサーバー側プラグインを使用する代わりに、CloudflareのキャッシングおよびWebアプリケーションファイアウォール(WAF)サービスが特定のユースケースに適しているかどうかを調査することもできます。 このオプションの詳細については、CloudFlareのドキュメントをご覧ください。

結論

ブルートフォース攻撃がドロップレットから発生した場合のトラブルシューティングオプションのナビゲートは面倒な場合がありますが、このチュートリアルでは、ドロップレット全体でWordPressのインストールを検出、解決、保護するためのいくつかの手順を共有しました。 ドロップレットの管理に役立つセキュリティ関連の詳細については、[推奨されるセキュリティ対策の記事]( ../recommended-security-measures-to-protect-your-サーバー)。