オンプレミスウェブサーバー、いわゆる自宅サーバー上のこのWordPressへの
ログイン試行・失敗ログとNGFW残っているIPS(不正侵入防御)ログをご参考までにご報告。
12月分となります。そして2024年の累計データ
レンタルサーバー側WordPressのログイン試行ログ
hk-networks[.]com側のWordPressについて。
今回は11月1日~11月31日までのログイン試行・不正アクセスデータを紹介。
管理者入力ミスは失敗件数から抜いてあります。(計算のための備考として書いてます。)
| 月 | 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 備考 | |
| 12月 | 1,514 | 3 | 1,511 | ログイン ミス除き済 |
※海外アクセス制限をやめた激増しております。
ちなみに今年の総計データ(上記の分も合算)
| 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 備考 | ||
| 2024年1月~12月累計 | 10,054 | 28 | 10013 | ログイン ミス除き済 |
祝!1万ログイン試行!!!!
要因としては2024年の途中、9月より海外からのアクセスを許可したため
と考えられます。
※グラフ側一部ログがなかったり計算ミスが発覚し、ちょっと過去投稿と数字が違うかも
海外からのアクセス制限解除により、いわゆるボットネットからの攻撃と思われる
アクセスが激増しているのが明確にわかりました。
国内IPユーザーしか対象にしないのであれば
いっそのこと海外からのアクセス拒否もある程度は効果はありそうです。
ログイン試行に使われるIDについては
123456789 / admin / Administrator_strony / DevUser /
(投稿者・表示名) / Support / abc123 / wadminw /
wp-blog / wpadminns / wwwadmin / z2dUz2dz2dUz /
他にも色々単発はありますが複数回使われたものは以上のようなものでした。
オンプレサーバ側WordPressのログイン試行ログ
blog.hk-networks[.]com側のWordPressについて。
こちらも10月1日~10月31日までのログイン試行・不正アクセスデータです。
※管理者入力ミスは失敗件数から抜いてあります。(計算のための備考として書いてます。)
| 月 | 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 管理者が普通 にミス回数 | 備考 |
| 12月 | 151 | 3 | 148 | 0 |
そして同じく今年の総計データ(上記の分も合算)
| 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 管理者が普通 にミス回数 | 備考 | |
| 2024年1月~12月累計 | 5,496 | 51 | 5429 | 15 |
※グラフ側一部ログがなかったり計算ミスが発覚し、ちょっと過去投稿と数字が違うかも
9月途中よりWAF(Web Application Firewall)の追加により
大幅なログイン試行件数の低減がわかりやすく感じられますが
動的IP運用のため攻撃されづらいIPで攻撃が減っただけの可能性も…….。
ログイン試行に使われるIDについては
admin / ZAP / http / https / wwwadmin / wadminw /
z2dUz2dz2dUz /
以上のようなものでした。HPに比べてバリエーションが少ないですが
同じようなID名でログイン試行をしているのが興味深いですね。
WordPressサイトのアクセス試行傾向は投稿者名を表示しているHPと
非表示のブログサイトでは使われるIDに大きく違いが出ているのが特徴的でした。
投稿者名から使用してるIDを推測できないような対策は必須項目だと思います。
2025年も
2024年はNICTERのスキャンを受けたりとして興味深いログが見れたりしました。
2025年も引き続きサイトのセキュリティ向上のための施策を増やしつつ
より詳細なデータが取れないか色々試していきたいと思います。
今年はWeb以外にもLAN内の脅威監視・常時パケットキャプチャ、認証システム、分析システムや
ハニーポットなどに挑戦していければと思います。
またギリギリになってしもた….
久しぶりにExcel使ったかも。
もしWordPress上で検出したログイン試行の発信元IPアドレスリストが研究・対応目的で
必要な際はHPのフォームよりご相談ください。
お問い合わせフォーム:https://hk-networks.com/contact/
コメント