【WordPress】見知らぬIPからのログインで不正アクセスを疑ったら「MalCare」が原因だった!

WordPress-知らないIPからのログイン-MalCare_eyecatch

WordPressの「Login rebuilder」というプラグインで管理画面へのログイン履歴を確認したところ「142.132.xxx.xx」や「116.202.xxx.xxx」という自分ではない見知らぬIPアドレスからのログイン情報がありました。

どう見ても国内のIPアドレスではないので、調べてみると海外(ドイツ)からのアクセスという事が判明...。まさか海外から管理画面にログインされている!?

今まで長いこと不正ログインの可能性に怯えていたのですが、違いました!

海外IPからのログイン履歴はプラグインの「MalCare」によるものでした。

WordPressの管理画面へのログイン履歴に海外IPがある

WordPressの管理画面へのログインページのURL変更や、XML-RPCに制限をかけるといった基本的なセキュリティーを強化してくれる「Login rebuilder」プラグイン。

このプラグインにはWordPressの管理画面にログインがあった時にメールでその内容を通知する機能や、ログイン中のユーザーや管理画面へのログイン情報をログとして残し、ダッシュボードに表示してくれる機能が付いています。

関連記事

非常に優秀なプラグインなのはさておき、そのログイン通知メールの内容をふと確認したところ、凄く気になる内容がありました。

WordPress-知らないIPからのログイン-MalCare_001

ログイン通知に見知らぬIPアドレス、UAがある...

実際に届いたログイン通知メールがコチラ...そして気になったのが以下の3点です。

  1. 見知らぬ海外のIPアドレス(116.202.xxx.xxx)からのアクセス
  2. ユーザーエージェントが「Ruby」という珍しいユーザーエージェント
  3. 日本時間の真夜中(3:37)にWPの管理画面にログインしたという情報

夜中3時ごろにドイツからRubyを使ったアクセスで管理画面にログインされたということになります...もはや不正ログイン以外に何を疑えば良いのか分からない内容!

不吉な予感がプンプンですが、サイトの不具合やデータの改ざん等は確認できず...。
そもそも管理画面にはIPアドレスで制限をかけているので何かおかしい。

という事でもう少しログイン履歴について調べてみます。

毎回定時(夜中03:37ごろ)にログインされる

「Login rebuilder」を使えばログイン中のユーザーやログイン時のログが確認できる機能があるので、この内容を詳しく確認してみます。

まずWordPressの管理画面にログイン中のユーザーがいるかどうかを確認します。

WordPress-知らないIPからのログイン-MalCare_002

知らないIPアドレス(ユーザー)がログイン中とのこと...

自分の情報は画像の一番下にある「Win/Chrome」です。
という事は自分以外に2つのアカウントがログイン中ということ...やばいね!

次にログイン時のログも確認してみます。

WordPress-知らないIPからのログイン-MalCare_003

夜中にログインも“成功”している...

夜中の03:36、03:37、03:38頃にログインに成功されています...
しかも毎日ログイン!やばすぎ!!

このダッシュボードの表示にブラウザ情報は表示されていないですが、ログイン通知メールで確認するとユーザーエージェントは「Ruby」です。

実はこんな感じで、毎晩の3:37ごろに海外からWordPressの管理画面に不正ログインされているっぽいのは以前から把握していたのですが、この度やっと解決しました!

スポンサーリンク

海外のIPアドレスからのログイン履歴の原因はプラグインの「MalCare」

サイトに特に問題も起きておらず、データも触られた痕跡が無かったので長い間放置していたのですが、先日また色々検証していた時に、海外のIPアドレスから夜中3時ごろにWordPressの管理画面に自動ログインされる原因が分かりました。

海外IPからのログイン履歴の犯人は「MalCare」というプラグインでした!
MalCare」もWordPressのセキュリティ対策プラグインとして有名なプラグインですが、このプラグインが原因だったのです。

原因が判明したのは「MalCare」の設定画面でアカウントの切断・再接続を繰り返していた時のことです。別の目的があったので偶然分かった感じです。

WordPress-知らないIPからのログイン-MalCare_005

MalCareの設定画面でアカウントの切断・再接続を行ってみた

その時に行った操作が、MalCareの設定画面でアカウントを「Disconnect(切断)」してから「Connect New Account」を押して再接続するという内容です。

この操作を行った後にログを確認してみると...

WordPress-知らないIPからのログイン-MalCare_006

MalCareの操作時間とログの保存時間が一致した

MalCareの設定を変更(アカウント再接続)した時の時刻と、ログインのログの時間が一致したのです。ということで原因は「MalCare」でした~。

「MalCare」使用時に海外のIPアドレスで自動ログインされる原因

今回、偶然プラグインの「MalCare」の設定画面を操作したことによって、真夜中に海外のIPアドレスからのログインが発生し、その履歴が残る原因はMalCareにあるという事が判明しました。

ではなぜこんな感じになるのか?調べました。

「MalCare」は自分のサーバーではなく、外部のサーバーを使ってスキャン処理などを行うクラウド型のプラグインのようでこれが原因です。

ここまで調べていませんが、恐らくMalCareのサーバーが海外(今回はドイツ?)にあり、この海外サーバーで処理を行っているものと推測できます。

そしてWordPressの管理画面にログインした状態でないと細部までスキャンできないのでしょう…。ゆえに“見知らぬ海外のIPアドレスからログインされる”という状況が発生するのかと思います。

夜中のログインという点は、サーバー負荷を考えて1日で一番アクセスが少ない時間帯に設定されているのだと推測します。

いずれにしても「MalCare」を使っているなら、夜中にWordPressの管理画面に海外IPでログインされ、履歴が残るのは仕方がないと言えます。
原因が分かれば心配無用。このIPアドレスをブロックする必要もありませんね!



まとめ

以上長くなりましたが“WordPressを使っていて夜中に海外のIPアドレスから管理画面にログインされている!...けど不正ログインではなかった!”という内容でした。

  • 142.132.xxx.xx
  • 116.202.xxx.xxx

といったIPアドレスからのログインについて不審に思われている方は「MalCare」が働いているだけかもしれません。

今回は上記のような海外IPアドレスが確認できましたが、クラウドなのでもっと沢山のIPアドレスの種類があるはずです。

ログインのログの時間帯が夜中ならMalCareが原因の可能性大。
MalCareの設定からアカウントを再接続して時刻が一致するなら確定です。

マニアックな記事でしたが、誰かの何かの助けになれば幸いです。
いや~ユーザーエージェントが「Ruby」って...そんなサーバー寄りの言語で海外から管理画面にログインされた履歴を見れば誰でも不安になりますよぉ~!( ;∀;)

関連記事

そんなこんなで過去に色々記事にしてますw良かったらコチラもどうぞ!

Wordpress-管理画面-IP制限_eyecatch
WordPressの管理画面とログイン画面にIPアドレスで制限をかける方法。[.htaccess使用]

続きを見る

Wordpress-強制ログアウト方法_eyecatch
WordPressでログイン中のユーザーを強制ログアウトさせる方法3つ。

続きを見る

-WordPress
-,

site-logo
ありがとうございました!
良かったらシェアしてネ・w・
当サイトはピンバックを受け付けます。
  • この記事を書いた人
ザキ

ザキ

X:@sologaku

プログラミングに興味があり情報系の大学を卒業。

新卒で社会人になるも数年で退職し今はフリーランスとして生きています。

少しでも誰かの役に立てれば...と思い、当サイトでIT関係のハウツーを発信しています。


ソロ学運営者:ザキの自己紹介

© 2020 sologaku