今週 WordPress へのボットネットによるブルートフォースアタックに関する話題を耳にした方も多いかと思います。これについて、マットがブログで以下のように書いていました。
約3年前、インストールの際にカスタムユーザー名を選べる機能を含めた WordPress 3.0 をリリースしましたが、結局はまだ多くの方が「admin」デフォルトユーザー名として使っているというのが現状です。現在、すべてのWordPress を狙って「admin」ユーザー名と大量の一般的なパスワードを使ってログインを試みるボットネットが流行っており、ニュースになっています(特に、この問題への「ソリューション」を提供する会社がこれを話題にしています)。
僕がおすすめするのは、以下の方法です。
- まだ「admin」というユーザー名を使っている場合は、変更しましょう。
- 強力なパスワードを使いましょう。
- WordPress.com でブログをお持ちなら、2段階認証を有効化しましょう。
- そしてもちろん、最新版の WordPress を使いましょう。
以上を行えば、99%のサイトよりも安全な状態にすることができ、問題が起こることほぼはないでしょう。他のほとんどのアドバイスはそんなに良いものではありません。ボットネットは9万件以上の IP アドレスを使っていると言われているので、IP 制限やスロットリングプラグインはそんなに効き目がないでしょう(彼らは24時間、1秒ごとに違う IP を試すことができます)。
今回のアタックについてはデフォルトユーザー名の変更とパスワードの強化が特に効果的です。WordPress ビルトインの強度インジケーターなどをぜひ活用しましょう!
WordPress のセキュリティ対策の基本的な心構えについては Codex の「WordPress の安全性を高める」記事をじっくり読むのがおすすめです(水野さんが大部分を翻訳してくださっています)。パスワードに関しての項目もあります。
WordPress を安全に運営していくための知識として、以下の記事も合わせてどうぞ。
商用ではないのですが、
友達のレンタルサーバーを使っている為、
IP制限とベーシック認証を設けてwp-login.phpへの攻撃が減らばいいと思っています。
効果は計測段階なのではっきりしていませんが。
勉強不足ですが
IDはadmin以外にしていても、
URLに「?author=1」を入れると一番目のIDが分かったり、
RSSの配信者名はニックネーム(デフォルトでログインユーザ名)が使われていたと思うので、
こちらも気をつけたほうがいいかもしれません。
ツイッターのURLでIDがわかってしまうように、
やはりパスワードの強力さが基本なのかもしれません。
はらぺこ屋さん
そうですね、今回の場合は admin やその他一般的なユーザー名を使った攻撃が多いようなのですが、同じく大規模に自動化されたブルートフォース攻撃の場合ユーザー ID も発見するのは難しいことではありませんのでパスワードを強化するのはどちらにしろ大事だと思います。
よくあるユーザー名とパスワード一覧は、こちらに紹介されています。
http://nakedsecurity.sophos.com/2013/04/13/wordpress-blogs-and-more-under-global-attack-check-your-passwords-now/
更に、Google Authenticatorのプラグインを導入し、2段階認証にすることによって壁をもう1つ用意してあげれば、組み合わせが天文学的数字になるのに加え、一時的なパスワードなので突破がほぼ不可能になりますね。
http://unguis.cre8or.jp/web/1650
2段階認証面倒ですがみなさん是非ご検討を・・・