WordPress保守管理事例
不正アクセスのルート確認
鉄骨会社様(埼玉県秩父市)のワードプレス保守管理事例
ダウンロードフォームの不正アクセス
WEBサイトの保守管理を行っている企業様の一例です。
こちらのサイトには、お客様のメールアドレスを取得する目的として、
図面のダウンロードサービスを用意しております。
しかし最近メールアドレスの入力なしに、ダウンロードされていることに気づき、
フォームへの不正アクセスが多いことに気づき、
原因追及と対策を実施しました。
プラグイン『WassUp』でIPアドレスと足跡を観察
『WassUp』というプラグインを利用し、アクセスしたユーザーのIPアドレスとページ遷移をみていきます。
ダウンロードフォルダがあるページにアクセスした時間とダウンロードされた時間が同じIPアドレスをマークしていきます。
.htaccessに特定したIPアドレスをブロック
『WassUp』で特定したIPアドレスを.htaccessに追記し、サイトにアクセスできないようにブロックしていきます。
Siteguardで管理画面のログイン強化と不正アクセスの確認
さらにsiteguardで管理画面にアクセスし、ロックされているIPアドレスも.htaccessに追記していきます。
ログイン画面のURLの変更とともに、ひらがな認証キャプチャも設定し、さらに強化していきます。
ダウンロードページのURLの変更
念のため、ダウンロードページのURLも変更し、今回の不正アクセス対策を行いました。
資料ダウンロードはされないのですが、メールや名前の登録なしに、フォームのサブミットボタンが押されているという対策でした。
次の事例 »