crocodile notebook

feedly feedburner google+ twitter facebook creative commons BY:2.1 プロフィール


Funny Internet Spam for eMail and Websites is Spicy
Creative Commons License photo credit: Funny Internet Spam for eMail and Websites is Spicy / epSos.de

2013年4月13日のTechCrunchに掲載された記事。
全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている

今、WordPressを使っているブログに対する大規模無差別攻撃が行われている。その大半は辞書を使用する力ずくの攻撃で、とくにWordPressがデフォルトで設定する”admin”アカウントのパスワードを見つけようとする。
 
HostGatorの分析によると、これは高度に組織化された、そして広範囲に分散した攻撃だ。同社の見積もりでは、今のところ約9万のIPアドレスが使われている。CloudFlareのファウンダでCEOのMatthew Princeが今朝語ったところによると、ハッカーたちは約10万のボットをコントロールしている。CloudFlareが実際に見たところによると、攻撃は相手を選ばずで、特定の種類のサイトに偏ってはいない。

万一のことがあっては大変なので、もしadminのままだったらすぐに変更しましょう。
でも管理者ユーザは変更も削除もできません。
そこで便利なのが以下のプラグインです。

管理者ユーザ名を変更する『Admin rename extended』

130413-0001

『admin rename extended』を新規プラグインから検索すればインストールできます。
使う場合はメニューの「プラグイン」-「Admin rename extended」を選択して、新しい管理者ユーザを入力するだけです。
admin以外のユーザ名からも変更できるので、定期的に変更するのもアリですよ。
変更後にプラグインを削除しても、adminに戻ってしまうことはないので大丈夫です。

ログインへのリトライ回数を制限する『limit login attempts』

130413-0002

ユーザ名を変更しても万全ではありませんよね。
ログインを必要とするシステムで一般的なのは『試行回数を制限する』こと。
不正アクセスはプログラムで自動処理されているので、数回の失敗で遮断するのは効果的です。
WordPressでそれを実現するのが『limit login attempts』

上のスクリーンショットは初期設定になります。
リトライは4回までに制限。
4回のリトライで失敗した場合、20分間ログインを遮断。
続けて4回の遮断が発生した場合24時間の遮断。
遮断から24時間が経過したら開放。

リトライの回数をもっと少なくして、遮断の時間を長くすれば、より効果は高くなります。

ログインフォームにcaptchaを追加する『Captcha』

130413-0003

captchaはランダムに表示される文字を入力してもらう仕組み。
これによって機械的にログインするのを防ぐことが可能になります。
でも、よくあるcaptchaは意味のわからない文字列だったり、妙に凝ってて読めない画像だったり。
入力する側にとってもストレスなことが少なくありませんよね。

その点、このcaptchaは単純な計算式を表示させるcaptchaになります。
計算式のパターンも調整することが可能です。
また、コメントフォームへのcaptchaにも利用することができます。
 
 
少ない手間で安全なWordPressを楽しみましょう!

WORDPRESSセキュリティ対策 基本マニュアル
Lotus Web Studios (2012-12-05)
売り上げランキング: 7,246

管理者ユーザ名の変更やログイン強化を施してWordPressへの不正アクセスに備えよう!

UPDATE: 2013.04.13
, , , ,




併せ読みに選ばれている
記事はこちらのようです

WordPressのセキュリティは大丈夫?まだまだ続く不正アクセスに対処しよう!

WordPressのセキュリティは大丈夫?まだまだ続く不正アクセスに対処しよう!

ボクのまわりでも実害が散見され始めたWordPressへの不正アクセス。被害に遭う前の対策はかならず施しましょう!

ブログなどWebサイト上へ安全にメールアドレスを掲載する方法

ブログなどWebサイト上へ安全にメールアドレスを掲載する方法

WordPressでコメント欄を設けてる人にはおなじみのCaptchaを利用して、簡単・安全にメールアドレスが公開可能になるサービスです。

WordPressへの不正アクセスが当ブログでも!忘れてた対策を.htaccessで施した!

WordPressへの不正アクセスが当ブログでも!忘れてた対策を.htaccessで施した!

ブログが重いなーと思ったら管理者ページへの不正ログインを試みられていた当ブログ。移設の際に対策するのを忘れていたら運悪いことに来てました。

《プラグイン17選》WordPressでブログを始めたい方へ捧げます《テーマ4選》

《プラグイン17選》WordPressでブログを始めたい方へ捧げます《テーマ4選》

WordPressでブログを始めようとしてる人、始めたけどもう少し手を加えたい人。 そうした方の参考になればと思い、ボクが活用しているプラグイン17本を纏めてみました。 あわせて今気になってるテーマを4つご紹介。

iTunesアフィリエイトをPHGへ書き換える前に、バックアップとリストアについて理解を深めましょう

iTunesアフィリエイトをPHGへ書き換える前に、バックアップとリストアについて理解を深めましょう

これからいろいろな方法でiTunesアフィリエイトリンクを書き換える方が続出すると思いますが、その前にバックアップについてもういちど考えてみませんか?

インターネット図書館を目指す『Internet Archives』がFlickrで所有画像を順次公開

インターネット図書館を目指す『Internet Archives』がFlickrで所有画像を順次公開

電子書籍化のメリットとして閲覧性・検索性・保存性の向上があると思います。特に海外の古い書籍であればその利便性は一層高く感じられるはずです。