WordPress管理画面へログイン成功するまで繰り返す「ブルートフォース攻撃」が思った以上に多い件

シェアする

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存
  • 8

screencapture-usttoday-jp-wp-admin-admin-php-1450345923351_v2

あることがきっかけで、Wordpressをインストールし直しした後、セキュリティー関連のプラグインとして名前がよく挙がっている「SiteGuard」をインストールしてみました。とはいえ、最初(プラグイン入れても)効果あるのかなぁ…?と半信半疑なところがありつつもしばらく様子を見ていたところ…

思った以上に攻撃されてた

WordPressの管理画面でユーザー名とパスワードを入力し、ログイン成功するまで攻撃を繰り返すいわゆる「ブルートフォース攻撃」がものすごい!上記の例では「いろんなユーザー名を使ってログインを試み」ていますが、別のサイトでは「同一のユーザー名でいろんなパスワードを使ってログインを試み」されて(結果的にSiteGuardによってロックかけられて)るケースも。

ちなみにこのスクリーンキャプチャーでは10行ぐらいしか表示していませんが、実際にはページ送りをしていくと×1000ページほどが数日ほったらかしにしておくと記録されています。恐るべし。

プラグイン「SiteGuard」の設定どうするか?

そのサイトは「一人で管理しているのか?」それとも「複数人で管理しているのか?」などでもポリシーは変わってきそうですが、自分はいまのところ

  • 管理ページアクセス制限
  • ログインページ変更
  • ログイン詳細エラーメッセージの無効化
  • ログインロック
  • ピンバック無効化
  • 更新通知

はどのサイトも「ON」にしてあります。

「管理ページアクセス制限」をかけるとWordpressへのログインをするためのURLも変わりますが、いきなり /wp-admin/ 以下へアクセスされてなにかやられるよりはいいのかな、と思って割りきって使っています。少し面倒になりますが。

それ以外の設定として

  • 画像認証
  • ログインアラート
  • フェールワンス

の3つはサイトに応じて…ですが、一人で管理しているWordpressのサイトは「画像認証」ではなくプラグイン「Google Authenticator」で対応。複数人で管理しているWordpressサイトの場合はSiteGuardの「画像認証」をONにし「フェールワンス」もONにさせています。

プラグインそのものの信頼性はどうなのよ?という話もあるかもしれませんが、手軽にちょっとしたセキュリティー対策として「SiteGuard」を使う選択肢はアリだと思いますが、これからも様子をみていこうとおもいます。

スポンサーリンク
広告(336×280)
広告(336×280)

シェアする

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

Pls Follow!

スポンサーリンク
広告(336×280)