WordPressパスワード ハッキング対策には ActivityLog / TwoFactor(二段階認証)プラグインがオススメ!

ここ1週間、このブログを始め、あらゆる自分に関係する認証に不正アタックものすごくたくさん

パスワードハッキングかけてくる人いるんですよね。

認証ログこまめにチェックしたり、Google先生が親切に教えてくれるからバレバレですけどね。。。

ログダウンロード、証拠保全♪

From: Google <@accounts.google.com>
Date: 2021/3/18, Thu 16:40
Subject: 不正使用されたパスワードを変更してアカウントを保護してください

ネット上は監視網だらけ

90%のサイトで行動ログ(cookie)取っていますね。

ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログです

最近技術系のブログやニュースを見てもGoogle Chromeからサードパーティークッキー廃止と話題になっているようです…

Google Chromeに拡張機能ghostery(cookieブロック拡張機能)入れてCookieみているから、どれだけプライバシーがひどいことになっているのか分かります。

それでサードパーティークッキーの危険性よく分かったから上記の記事を書いたのですが。

このブログ他にアタックかけてる人。匿名を謳っているVPNでもいたずらレベルならまだしも、違法行為なら捜査当局が入ればすぐにバレますよ、、、

朝日新聞デジタル

朝日新聞社のニュースサイト、朝日新聞デジタルの不正アクセス禁止法に関する記事一覧ページです。…

VPNをかませば違法行為やりたい放題と勘違いしない方がいいと思います。

嫌な感じの書き込みならできたとしても、違法行為は警察が入ればVPNでもバレバレです。

「匿名」でやりたい放題と勘違いする人もいますが。。。ネットの世界は完全匿名ではありません。どこのサイトでも。。。

操作ログ取得にはActivityLogが便利!

標準ではWordPressにはログを取るということはできませんが、「ActivityLog(アクティビティログ)」というプラグインを入れれば、詳細なログを取ることができます。

これを入れているとアタックがすぐに分かりますね。

ログイン以外でも詳細な操作ログが記録されています。

スパム/フィッシングコメントを書いた人の発信元情報も記録されています。

プラグインを組み合わせればさらに細かい発信元を突き止めることもできます。

閲覧以外の操作は「誰」が「何」をしたというログも詳細に記録していて、このログはCSVダウンロードできます。

このプラグインをインストールすると、セキュリティが飛躍的に向上するのでオススメです。

プラグインを入れ足り、テーマを変えたりして、かゆいところに手が届くように自由にカスタマイズできるのがwordpressの利点ですね。

二段階認証にはTwo Factor Authenticationプラグイン

wordpressはデフォルトでは、二段階認証が入っていませんが、プラグインを入れると、二段階認証に対応させることができます。

二段階認証はこのプラグインの場合、三種類選べますが、メールコードを選んだ場合、メールで、認証コードが送られてきます。

—– Original Message —–
From: WordPress
To:
Date: 2021/3/18, Thu 20:32
Subject: ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログですのログイン確認コード
ログインするためにxxxxxxを入力して下さい。
認証アプリでも、認証コードを発生させられるようです。
ただし、二段階認証の注意点として、
・必ずバックアップコードはあらかじめ控えておいてください。
バックアップコードというのは何らかの理由で、認証コードが受け取れない場合に用いる救済用長文パスワードです。
バックアップコードが重要というのはこのプラグインだけではなく、二段階認証を導入しているWEBサイト等ほぼ全てです。
例えば、二段階認証にメール送信を利用している場合、何らかの理由で、そのメールアドレスが変更になれば?
アプリ認証を使っている場合、そのアプリの入ったスマホを機種変更、紛失、故障 等してしまったら?
このプラグインではサポートしていないようですが、SMS認証を使用している場合、機種変更やキャリア変更で電話番号が変わったら?
そんなときのためのバックアップコードです。
余談ですが、playstation networkでSMS認証をつけていて機種変して電話番号が変わったら大変なことになりました。
サポートセンターに問い合わせてなんとかなりましたが、バックアップコードを取っていなかったのでものすごく大変でした。
Sonyが悪いんじゃなく、本人確認が厳格ということはそれだけセキュリティが厳しく、なあなあではないと言うことで、セキュリティ的には◎ですね。。。。
二段階認証導入時のバックアップコードの重要さ理解されている方が、少ないと思いますが、少なくともここを読んだ方は忘れずにとっておいてくださいね。
playstation networkはサポートセンターがありましたが、wordpressではそのようなものがないので、誰も助けてくれません。
何らかの理由で、二段階認証ができなくなった場合、諦めてサイトを捨てる他ありません。怖いことです。。。

犯罪はコスパが悪い

少し前までは、優秀な弁護士を雇い、「執行猶予」を勝ち取れば。犯人側の勝ちみたいなところがありましたが、今は犯罪の事実が表面化すると多くの人が、「まとめサイト」などを作り、半永久的にネット上に名前が残ります。

例えば、自分の本名を検索して、悪い記事ばかり出たら、その時点で、

「就職」「結婚」「賃貸の入居審査」 他

場合によっては周囲の人が、本名を検索して、ネガティブな内容がぞろぞろ出たら、ほとんどの人は「危険人物」と思い、避けるでしょう。

オーバーな話でなく、検索した相手のネガティブ記事が沢山目に入ったら、あなたならとる行動を連想してください。

例えば就職であなたが人事採用担当者だとします。

応募者の本名で検索したとします。すると、過去の犯罪歴がずらずら出てきたとします。このような人物を採用して、何か、その人が問題を起こせば「名前で検索すればすぐに過去の犯罪歴は分かるはず。採用ミス!」

と会社から採用責任を取らされるリスクを考えれば、このような人物を避けるのが普通です。

表向き、採用に際しての身辺調査は、問題視されています。

でも、実際には大手企業はどこでもおこなっているので、これら興信所/探偵業者はやっていけます。本音と建前です。

もちろん過去の犯罪歴を検索したから、不採用になったという人事の人はいるはずがなく、別の理由をいうでしょう。

だからこれら事実は表沙汰にはなりません。このようなことは就職だけに限らず、ありとあらゆるところで起きると思います。表向きいわない以上は、裁判に持ち込んでも立証不可能です。

 

人の噂は75日で終わらなくて一生その苦しみが続くのならば、極端な話、懲役1年で、後世に名前が残らない方が遥かにマシとさえ思えます。

自分の名前を検索するとネガティブな記事が出てくるのは、恥ずかしい柄の入れ墨を入れられたようなもの。

悲劇としかいいようがありません。

とりあえず、犯罪行為はいかに隠すか、刑を軽くするかということを考える前に、今の時代の社会的制裁は恐ろしいから、「そもそも犯罪を犯さない」ということを考えた方がいいと思います。

不正アクセスで警察に突き出されて、人生転落した人を何人も新聞上で見てきました。

不正アクセスは、自分の机のパソコンからパスワードを入力するだけなので、実施に自ら動く、強盗などの犯罪に比べれば罪の意識が大幅に低い気がします。しかし、罪の代償は大きいです。

人生転落する人が出る前に、警鐘の意味もかねてあえてこの記事を書いています。

 

これが今まで見た中で一番強烈。。このサイトだけでなく日本の法律が及ばない海外サイトにも、たくさんまとめサイトが作られている。。。

https://newsmatomedia.com/katayama-yusuke

日本の法律が及ばないから法律ができれば解決という簡単な話ではないですね。

日本の法律や圧力の類が及ばない海外サーバーのものは、規制仕切れないです。

ホットな話題では元YouTuberで逮捕された人、この先どうなってしまうのでしょうか。

出所後、どういう人生が待ち受けているんでしょう。改名して、一生人目を避ける人生を送るのでしょうか。考えただけで恐ろしいです。

残念なことに、情報化社外、人生のリセットボタンはなく、一生重い十字架を背負って生きていくことになるでしょう。悪いことはコスパが悪すぎます。

https://www.cinematoday.jp/news/N0009377