ヤマムギ

growing hard days.

*

WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する

      2017/08/13

Delicious にシェア
このエントリーをはてなブックマークに追加
LinkedIn にシェア
LINEで送る

AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集するという記事でブログサイトのアクセスログを確認した結果、wp-login.php , xmlrpc.phpへのアクセスが結構ありましたので、自IPアドレス以外からのアクセスを禁止しようと思いました。

WAF以外の方法の検討

VPC ネットワークACL

そもそも不審なアクセスをしてくるIPアドレスをブラックリスト登録しようか、と思いましたが、上限が20なので管理が大変そうなのでやめました。

NginxのConfigでAllow,Deny登録

CloudFront経由なのとSSHで入って設定を頻繁に変えるのも面倒なのでやめました。

WAFの設定

AWS WAFをマネジメントコンソールで開いてWeb ACLを新規作成します。
Web ACL NameとCloudWatch metric nameは任意で設定します。

リージョンはCloudFrontに設定するのでGlobalにしました。

自分のIPアドレスだけを許可したいのでIP match conditionを設定します。

Nameは任意です。
Address には例えば「111.111.111.111/32」のように設定して[Add IP address or range]をクリックして下部のconditionに設定されたら[Create]をクリックして作成します。

次に該当するURIを指定するので、String match conditionsを設定してます。

Nameは任意です。
* Path of the request to filter on : URI
* Match type : Contains
* Transformation : None
* Value to match : wp-login

[Add filter]をクリックします。

同じように xmlrpc.php についても設定します。
※wp-adminについてはadmin-ajax.phpが必要でしたので制限するのをやめました。

次にルールを作成します。

Name , CloudWatch metric nameは任意です。
Rule Typeは Regular ruleにしました。

conditionsを追加していきます。

IPアドレスは自分のIPアドレスなので 「does not」にします。
このIPアドレス以外の時に、です。

URIパスは 「does」にしてます。
このパスにアクセスしようとしたら、です。

※このままルールをアクションに設定をしようとしたらなぜか出来なかったので、デフォルトのアクションを「Allow all requests that don’t match any rules」に設定してとりあえず作りました。

作った後に[Web ACLs] – [Rules]で先ほど作ったルールとアクションを「Block requests」にして設定しました。

WAFのWeb ACLを作成するときにCloudFrontの設定をついでにしていましたが、他のサイトにも共通の設定としたいので、他のサイトのCloudFrontへも設定します。

確認

CloudFrontのstatusが Deployed になったら設定完了です。

スマートフォンでWiFiを切って、サイトに普通にアクセス出来ることを確認します。

次にURLに 「/ep-login.php」や「/wp-admin/」でアクセスしてみます。

Blockされました。

CloudWatchダッシュボードにメトリクスからグラフを作ってみてみます。

オレンジが普通のアクセスで、青色がブロックされたアクセスです。

それなりに外部からアクセスされようとしているのが分かりました。

グローバルIPアドレスについて

自宅のIPアドレスは固定IPにはしてませんので、変更する可能性があります。
そのときはWAFのコンディションを変更するだけで対応出来ます。

料金について

AWS WAF料金

2017年8月12日現在

  • Web ACL一つあたり $5/月
  • ルール一つあたり $1/月
  • 100万リクエストあたり $0.6

なので個人でやるには少しコストがかかるイメージがありますが、他の同等のサービスと比べると安価ではないかと思います。
また、余計な不正アクセスのためにスペックをあげるくらいであれば、こちらの方が安価でかつセキュリティレベルもあがるのでメリットは大きいのでは、と思います。

最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

Amazon SES(Simple Email Service)でメール受信時のアクションでLambdaを実行して渡されるデータを見てみる

Amazon SESで受信したメールをS3に保存して、S3のトリガーでLambd …

EC2 Amazon Linux 2 にAmazon LinuxからWordPressを移行

このブログを新しいインスタンスに移行することにしました。 2015年5月にAma …

AWS EC2 でインスタンスにIPアドレスを紐付ける

AWS EC2で作ったサーバは何もしなければ起動するたびにIPアドレスが変わって …

NATインスタンスを作成する

プライベートサブネットのEC2インスタンスからカスタムメトリクスとCloudWa …

執筆環境(PyCharm, CodeCommit, CodePipeline, S3, Lambda, 署名付きURL)

2018年から、年に1回ぐらい商業本の執筆をさせていただいております。 2020 …

リザーブドインスタンス推奨事項を確認した

マネジメントコンソールで[AWSコスト管理]カテゴリの[AWS Cost Exp …

RocketChat(EC2インスタンス)でCPU80%以上を10分間継続したら再起動する

先日、数日間のやり取り用で完全に使い捨てとして使っているRocketChatで、 …

EC2インスタンスが到達不能になって復旧してMackerelで監視し始めた

きっとばりばり使っておられる方ならよくある事なんだろうけど、はじめて体験したので …

AWS 認定クラウドプラクティショナーのサンプル問題

AWS認定クラウドプラクティショナのサンプル問題2018年9月25日現在で、英語 …

QuickSightのVisualizeをダッシュボード化して定期メール

「Backlogの実績工数をAmazon QuickSightで可視化してわかっ …

PREV
AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集する
NEXT
php-fpm で Out of memoryが発生した際にメール通知する(AWS CloudWatch , Amazon SNS)