- 井上 みやび子
- すぐ使える株式会社 代表取締役
- 東京都
- Webエンジニア
対象:ホームページ・Web制作
- 原島 洋
- (Webプロデューサー)
- 井上 みやび子
- (Webエンジニア)
本当は怖い WordPress (3) エラーログのチェック
-
ブログやCMS(コンテント・マネージメント・システム、Webサイト更新ツール)としてよく使われているWordPressも、メジャーであるがゆえの危険性がある事、またその防御策を(1)、(2)で少しご説明しました。
今回は、何かあった時になるべく早く気づくためのWebサーバログ(アクセス記録)の見方をご紹介します。忙しい中でもここだけは見ておくようにすると、「怪しいかも」という時に早めに気づく事ができます。定期検診のようなものだと思って下さい。
結構な頻度で攻撃されているWordPress
さてその方法の紹介の前に、実際にどれくらいWordPressに攻撃が来ているのかをご紹介します。
以下の表は、私が管理しているWordPressサイトで、2013年7月からこの原稿を書いている9月末までにどれだけ管理画面への不正アクセスがあったかを数えたものです。
WordPressへの不正ログインの試みの回数
日付 | ログインアクセス回数 |
2013/7/1 | 0 |
2013/7/2 | 0 |
2013/7/3 | 0 |
2013/7/4 | 0 |
2013/7/5 | 45 |
2013/7/6 | 125 |
2013/7/7 | 0 |
2013/7/8 | 0 |
2013/7/9 | 0 |
2013/7/10 | 0 |
2013/7/11 | 0 |
2013/7/12 | 0 |
2013/7/13 | 3 |
2013/7/14 | 0 |
2013/7/15 | 0 |
2013/7/16 | 0 |
2013/7/17 | 0 |
2013/7/18 | 0 |
2013/7/19 | 3 |
2013/7/20 | 0 |
2013/7/21 | 3 |
2013/7/22 | 2 |
2013/7/23 | 0 |
2013/7/24 | 0 |
2013/7/25 | 0 |
2013/7/26 | 0 |
2013/7/27 | 0 |
2013/7/28 | 0 |
2013/7/29 | 0 |
2013/7/30 | 0 |
2013/7/31 | 0 |
2013/8/1 | 5 |
2013/8/2 | 0 |
2013/8/3 | 0 |
2013/8/4 | 0 |
2013/8/5 | 0 |
2013/8/6 | 0 |
2013/8/7 | 0 |
2013/8/8 | 3 |
2013/8/9 | 0 |
2013/8/10 | 0 |
2013/8/11 | 0 |
2013/8/12 | 0 |
2013/8/13 | 295 |
2013/8/14 | 0 |
2013/8/15 | 0 |
2013/8/16 | 0 |
2013/8/17 | 0 |
2013/8/18 | 0 |
2013/8/19 | 0 |
2013/8/20 | 0 |
2013/8/21 | 0 |
2013/8/22 | 0 |
2013/8/23 | 0 |
2013/8/24 | 0 |
2013/8/25 | 0 |
2013/8/26 | 0 |
2013/8/27 | 2 |
2013/8/28 | 0 |
2013/8/29 | 0 |
2013/8/30 | 0 |
2013/8/31 | 1 |
2013/9/1 | 1 |
2013/9/2 | 0 |
2013/9/3 | 27231 |
2013/9/4 | 25 |
2013/9/5 | 6 |
2013/9/6 | 0 |
2013/9/7 | 1 |
2013/9/8 | 0 |
2013/9/9 | 0 |
2013/9/10 | 0 |
2013/9/11 | 1 |
2013/9/12 | 7598 |
2013/9/13 | 42 |
2013/9/14 | 0 |
2013/9/15 | 0 |
2013/9/16 | 0 |
2013/9/17 | 0 |
2013/9/18 | 0 |
2013/9/19 | 0 |
2013/9/20 | 22271 |
2013/9/21 | 37 |
2013/9/22 | 1 |
2013/9/23 | 1 |
2013/9/24 | 1 |
2013/9/25 | 0 |
2013/9/26 | 0 |
管理者としてログインするのは週に1回程度で、タイプミスが無ければ一発でログインできますので、残りは全て攻撃者からのログインの試みです。結構あるんですね。
特に、2013年9月20日のものは大規模で、時刻を同期してロシアからベトナムから、それこそ世界中から不正ログインの試みがありました。これはやはり、WordPressを使っているサイトを狙ってくるのです。WordPressを使っていないサイトも同じサーバで管理していましたが、そちらには来ていません。
この例のサイトは、特にメジャーなサイトではありませんが、それでも攻撃は来ているのです。幸いこの時は、パスワードが破られた形跡はありませんでした。
エラーログのチェック
さてこのような攻撃があった事を素早く検知するには、Webサーバのアクセスログのうち、「エラーログ」と呼ばれる記録を見るのが効率的です。
攻撃があった場合はエラーログの数が増える事が多いですので、この数の増減をチェックしていれば、何かいつもと違う事が起きた事を素早く知り、専門家やサーバ会社に相談するなど、適切な対応につなげる事ができます。
不幸にもパスワードが破られてしまった場合も、(1)でご説明した2重パスワードの対策がしてあればエラーログが残ります。
エラーログのチェックポイント
アクセスログのうち、「ステータスコード」または「レスポンスコード」が400以上のものがエラーですので、この数に気をつけてみて下さい。
エラーログを見る方法
ではどこでこのログを見られるのでしょうか?
「エラーログ」はページが正常に表示されなかった時の記録なので、Googleアナリティクスなど、マーケティングやWebサイト改善のためにアクセス解析ツールでは通常確認することができません。お使いのサーバのサービス管理画面などから見られる筈ですので、探してみて下さい。
エラーログを見る頻度
エラーログはどの程度の頻度で見ておけばいいでしょうか?
攻撃の単位は大体1日から長くても2-3日に集中してきます。このため、できれば毎朝一目でも見ておくといいのですが、無理であれば毎週1回、曜日を決めて見て下さい。
この記事の関連リンク
このコラムに類似したコラム
ホームページの羅針盤=アクセス解析レポート 【ホームページ作成 盛岡】 千葉 英男 - Webプロデューサー(2014/08/05 09:32)
運用面でのホームページ更新の大切さ 三井 博康 - Webプロデューサー(2013/12/06 14:43)
プラグインを利用せずにWordPressにFacebookコメント欄を設置する簡単な方法 小菅 太郎 - ITコンサルタント(2013/10/22 15:05)
本当は怖い WordPress (2) コメントのブロック 井上 みやび子 - Webエンジニア(2013/09/10 00:00)
本当は怖い WordPress (1) パスワードの強化 井上 みやび子 - Webエンジニア(2013/09/03 00:00)