対策に至った経緯
5月15日にWordPressのセキュリティ対策用プラグイン(Wordfence)からメールが2通来ました。
1通目の時刻は、00:22。もう寝る寸前だったので様子を見ることにして就寝。
で、起きて再度メールを確認したところ07:49もう一通。
ご丁寧にDNSとパブリックIPに向けて同じことを実施したようです。
これまでもアタックされていること自体は認識していました。ただ、一度のアタック数も少ないし、一度っきりだったことからスルーを決めてました。
さすがに今回のは一度のアタック回数が多く、同日に複数回やられたこともあって、対策施さないわけにはいかないかと。。。
以下、WordPress管理画面のダッシュボードに表示されているWordfenceのサマリを見ればその差は明らか。
Lightsailでの対策実施
さて、それじゃ何するか。。。
しっかりやるならWAFの導入なのでしょうけども、商用でもない個人サイトでWAF分の課金を増やすわけにはいかない。残念ながらアクセス数もすこぶる少ないので(泣)、手っ取り早くiptableで該当IPアドレスだけアクセス不許可とすることに。
ちなみに、Lightsailのコンソールで設定できるフィルタリングは、プロトコル、ポート、IPアドレスレンジを指定したアクセス許可の設定のみ。今回のようなアクセス不許可を設定するのには適さないです。
ここからは、iptable設定の具体的な手順になります。
手順1. Lightsailコンソールからターミナル接続します。
手順2. IPアドレス 1.2.3.4 からのアクセスを破棄する定義を設定します。
$ sudo su
$ iptables -A INPUT -s 1.2.3.4 -j DROP手順3. 既存の設定をセーブします。
$ sudo su
$ iptables-save > /opt/bitnami/iptables-rules手順4. cron設定を編集します。(エディタ操作については記述を省略します)
$ crontab -e手順5. crontabコマンドで開いたファイルの最終行に以下を追加します。
※リブートされるたびにバックアップファイルからロードされるようになります。
@reboot /sbin/iptables-restore < /opt/bitnami/iptables-rules前述のWordfence画面は、16日21:00頃に採取したものです。15日に設定してからは、問題のIPアドレスをブロックした数が増加していません。ただ、この画面からだけでは対策が有効になったからなのか、もうアタックしに来ていないのかまでは判断できないですが。。。