今週 WordPress へのボットネットによるブルートフォースアタックに関する話題を耳にした方も多いかと思います。これについて、マットがブログで以下のように書いていました。
約3年前、インストールの際にカスタムユーザー名を選べる機能を含めた WordPress 3.0 をリリースしましたが、結局はまだ多くの方が「admin」デフォルトユーザー名として使っているというのが現状です。現在、すべてのWordPress を狙って「admin」ユーザー名と大量の一般的なパスワードを使ってログインを試みるボットネットが流行っており、ニュースになっています(特に、この問題への「ソリューション」を提供する会社がこれを話題にしています)。
僕がおすすめするのは、以下の方法です。
- まだ「admin」というユーザー名を使っている場合は、変更しましょう。
- 強力なパスワードを使いましょう。
- WordPress.com でブログをお持ちなら、2段階認証を有効化しましょう。
- そしてもちろん、最新版の WordPress を使いましょう。
以上を行えば、99%のサイトよりも安全な状態にすることができ、問題が起こることほぼはないでしょう。他のほとんどのアドバイスはそんなに良いものではありません。ボットネットは9万件以上の IP アドレスを使っていると言われているので、IP 制限やスロットリングプラグインはそんなに効き目がないでしょう(彼らは24時間、1秒ごとに違う IP を試すことができます)。
今回のアタックについてはデフォルトユーザー名の変更とパスワードの強化が特に効果的です。WordPress ビルトインの強度インジケーターなどをぜひ活用しましょう!
WordPress のセキュリティ対策の基本的な心構えについては Codex の「WordPress の安全性を高める」記事をじっくり読むのがおすすめです(水野さんが大部分を翻訳してくださっています)。パスワードに関しての項目もあります。
WordPress を安全に運営していくための知識として、以下の記事も合わせてどうぞ。