WordPressにはエントリごとのパスワード保護の機能があるんですね。試してみます。

2014年、いろいろありましたが、最も恥ずべきことはこのサーバがクラックされたことですかね。

それもsshdのブルートフォースで突破されて何かに悪用されたみたい。外向きのトラフィックが異常に出ていたので、それを検出したサービス側がこのサーバを落としてくれた。

まあ最悪ですね。スキャンをたくさん受けていた時代があったので、ポートは変えていたんですけども。ポート変えてからしばらく来なくなったので放っておいたのかな？ ひと通り対策したと勝手に思っていたけど、PermitRootLoginを有効にしたままだった。そんなつもりなかったんだけどね。ありえんでしょ。確かに最近またスキャンがポロポロ来てたなぁと(以前ほどではないが)。rootのパスワードなんて使わないので自分でも忘れてましたが、パスワードマネージャに登録がないので単純なパスワードだったんでしょう、たぶん。

sshに関しては、パスワード認証を有効にしたままというのも問題が大きい。ただこれは言い訳させてもらうと、システム側で公開鍵をアップロードする手段が用意されていないので、手元のPCに置いてある秘密鍵を紛失した(手元PCの故障やら乗り換えなんてよくあることでしょ？)ときのことを考えるとパスワード認証を切ることができなかったんです。

結局VPSなのでまっさらな状態にしてもらってからインストールし直しました。ついでに以前からやろうと思っていたCentOS7系にOSを変更。systemdが気持ち悪い。chefによる自動デプロイの整備までは時間がなかった。まだ完全ではない状態だけど、以前よりはマシかな。

PermitRootLoginは当然切るとして、↑↑の理由でパスワード認証はまだ切れないと思うし、私の場合普通のユーザ名もそんなに珍しいものじゃないんで、弱い部分は残ったまま。どうするのがいいんでしょうね。電話からログインすることもあるのでIPアドレスの制限はかけられないし。

とりあえずポートをさらに変更した上で、DenyHostsというのを入れました。/var/log/secureを定期的にチェックして、スキャンしてきたホストを/etc/hosts.denyに書いていくというデーモンです。まあ、ないよりは良かろう。

あとは監視ですよね。落とされてからしばらく自分でも気付かなかったので。

しかしこれは本当に恥ずかしいエントリですね。