WordPress へのブルートフォースアタック対策: パスワード強化

今週 WordPress へのボットネットによるブルートフォースアタックに関する話題を耳にした方も多いかと思います。これについて、マットがブログで以下のように書いていました

約3年前、インストールの際にカスタムユーザー名を選べる機能を含めた WordPress 3.0 をリリースしましたが、結局はまだ多くの方が「admin」デフォルトユーザー名として使っているというのが現状です。現在、すべてのWordPress を狙って「admin」ユーザー名と大量の一般的なパスワードを使ってログインを試みるボットネットが流行っており、ニュースになっています(特に、この問題への「ソリューション」を提供する会社がこれを話題にしています)。

僕がおすすめするのは、以下の方法です。

  • まだ「admin」というユーザー名を使っている場合は、変更しましょう
  • 強力なパスワードを使いましょう。
  • WordPress.com でブログをお持ちなら、2段階認証を有効化しましょう。
  • そしてもちろん、最新版の WordPress を使いましょう。

以上を行えば、99%のサイトよりも安全な状態にすることができ、問題が起こることほぼはないでしょう。他のほとんどのアドバイスはそんなに良いものではありません。ボットネットは9万件以上の IP アドレスを使っていると言われているので、IP 制限やスロットリングプラグインはそんなに効き目がないでしょう(彼らは24時間、1秒ごとに違う IP を試すことができます)。

今回のアタックについてはデフォルトユーザー名の変更とパスワードの強化が特に効果的です。WordPress ビルトインの強度インジケーターなどをぜひ活用しましょう!

パスワード強度インジケーター

WordPress のセキュリティ対策の基本的な心構えについては Codex の「WordPress の安全性を高める」記事をじっくり読むのがおすすめです(水野さんが大部分を翻訳してくださっています)。パスワードに関しての項目もあります。

WordPress を安全に運営していくための知識として、以下の記事も合わせてどうぞ。

作成者: 高野直子

東京在住の Automattic 社 Globalizer、高野直子の個人ブログです。WordPress、リモートワーク、イベント参加レポート、子育てのことなど不定期に書いています。

3件のコメント

  1. 商用ではないのですが、
    友達のレンタルサーバーを使っている為、
    IP制限とベーシック認証を設けてwp-login.phpへの攻撃が減らばいいと思っています。
    効果は計測段階なのではっきりしていませんが。

    勉強不足ですが
    IDはadmin以外にしていても、
    URLに「?author=1」を入れると一番目のIDが分かったり、
    RSSの配信者名はニックネーム(デフォルトでログインユーザ名)が使われていたと思うので、
    こちらも気をつけたほうがいいかもしれません。

    ツイッターのURLでIDがわかってしまうように、
    やはりパスワードの強力さが基本なのかもしれません。

    返信

    1. はらぺこ屋さん

      そうですね、今回の場合は admin やその他一般的なユーザー名を使った攻撃が多いようなのですが、同じく大規模に自動化されたブルートフォース攻撃の場合ユーザー ID も発見するのは難しいことではありませんのでパスワードを強化するのはどちらにしろ大事だと思います。

      よくあるユーザー名とパスワード一覧は、こちらに紹介されています。
      http://nakedsecurity.sophos.com/2013/04/13/wordpress-blogs-and-more-under-global-attack-check-your-passwords-now/

      返信

コメントする

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください