photo credit: Providing security / The U.S. Army

ここしばらく猛威を振るっている、対WordPress向けの不正アクセス。
ログインユーザ名が『admin』のままになっているブログを標的にしています。
ユーザ名は固定で、あとは何パターンものパスワードを続けざまに送信。
こうした攻撃方法を『brute force attack（ブルートフォースアタック）』と呼びます。
直訳すれば『総当たり攻撃』『力任せ攻撃』といったところ。
ユーザ名がadminであれば、いつかはパスワードも正解しちゃいます。

ブルートフォースアタックの特徴は、1つの固定ユーザ名と、膨大なパターンのパスワード、そして多数の拠点。
自動的に攻撃を行うボットを利用して、数万拠点（IPアドレス）を使ってパスワードを送り続けます。
例えば毎秒毎に拠点となるIPアドレスを変更した場合。
それでも86,400のIPアドレスがあれば24時間ものあいだ異なる拠点からパスワードを送り続けることができます。
そしてボットにはそれ以上のIPアドレスが使われていると言われています。

ボクがオススメする対策は以前にも紹介しているこちらの記事を参照してください。
参考：管理者ユーザ名の変更やログイン強化を施してWordPressへの不正アクセスに備えよう！
『ユーザ名の変更』は必ず実施してください。
その際、パスワードも変更するのが良いです。
ボットから送られてくるパスワードは意味のある単語や人名を含めたものが多いと言われています。
よく使われるパスワードをあらかじめ準備して、それつかって手当たり次第に侵入を試みるわけです。
そのため、パスワードを意味のない文字列にすることはユーザ名の変更とあわせて効果的です。

WordPressにはパスワードの強度をチェックする機能があるので、これを活用してください。
複雑なパスワードが難しい場合、2段階認証などを施すのも効果的です。
管理者ページへの2段階認証を施せない場合でも『Captcha認証』を併用すればプログラムに対しては有効です。

ハッキング／クラッキング被害の例

では実際、どのような被害が想定されるのでしょうか。
WordPressサイトが受ける攻撃の被害にについて、WordPres Codex日本語版では以下のように示されています。

テーマファイルの改変

スパムサイトやマルウェアサイトへのリンクが埋め込まれた
iframe で外部サイトを表示させられた
悪意あるスクリプトを埋め込まれた

データの改竄／漏洩／破壊

データベースの改竄／破壊
ユーザーログインデータの漏洩
投稿パスワードの漏洩
既存ファイルの削除、不正ファイルの追加

個人利用のWordPressであっても実害はあります。
テーマファイルの改変はブログを読みに来てくれた人へ被害を広げてしまうからです。
これ以外にも、他のWordPressへの攻撃を行うプログラムを埋め込まれてしまう可能性もあります。

WordPressでブログを更新するなら、必ず行うべき2つの対策。
1. ユーザ名は『admin』以外に設定すること。
2. パスワードはできるだけ強度の高いものにすること。
これだけで格段に安全な環境になりますよ。

基礎からのWordPress (BASIC LESSON For Web Engineers)

基礎からのWordPress (BASIC LESSON For Web Engineers)

posted with amazlet at 13.05.08

高橋のり
ソフトバンククリエイティブ
売り上げランキング: 4,048

Amazon.co.jpで詳細を見る

WordPressのセキュリティは大丈夫？まだまだ続く不正アクセスに対処しよう！

UPDATE: 2013.05.08
ホーム >
インターネット >
WordPress

WordPress , セキュリティ , ブルートフォースアタック , ユーザー名の変更

WordPressのセキュリティは大丈夫？まだまだ続く不正アクセスに対処しよう！

ボクのまわりでも実害が散見され始めたWordPressへの不正アクセス。被害に遭う前の対策はかならず施しましょう！

UPDATE: 2013.05.08

カテゴリー

iPhone／iPad (142)
- iOS (25)
- ユーティリティ (19)
- 仕事効率化 (19)
- 天気 (5)
- 写真 (17)
- 動画・音楽 (18)
- SNSクライアント (6)
- ナビゲーション (5)
- ゲーム (5)
- 知育・教育 (5)
- ブック (6)
Mac (190)
- リリース情報 (1)
- Mac OS X (38)
- ユーティリティ (94)
- Web・Mail (13)
- iTunes (6)
- 動画・画像・音楽 (25)
- SNSクライアント (2)
- BootCamp (2)
- ゲーム (5)
インターネット (133)
- WEBサービス (86)
- WordPress (45)
ハードウェア (259)
- Mac環境関連 (36)
- AV機器関連 (48)
- iPhone/iPad関連 (74)
- AppleTV関連 (5)
- デジタルカメラ (62)
- モバイル関連 (30)
その他 (220)
- レシピ・グルメ (25)
- CD・iTunesミュージック (17)
- Vape (2)
- 自転車 (14)
- 家電・調理器具関連 (22)
- ファッション (33)
- 旅行記 (15)
- 万年筆・文房具 (24)
- 書籍 (25)
- WEBLOG (36)

- 直近に更新した記事 -

2020.05.09
SONY DSC-RX100M7を購入したらソーシャルディスタンスに最適でした。

2018.04.11
Penon Audioから個人輸入したイヤホンが初期不良だったので交換手続きしました

2018.01.16
iPhone7のイヤホン事情に疲れ果てたのでBluetoothイヤホン「JPRiDE JPA2 Live」に切り替えました

2018.01.15
風景からテーブルフォト、月の写真まで1台で撮れるコンパクトカメラ『SONY DSC-HX90V』を購入しました

2017.07.19
重なる味の変化と軽やかな後味がすばらしいVapeリキッド『Gotland Pepparkakor by BaksLiquidLab.』

2017.07.13
鳥好きVaperなら必携のちいさいMOD『AmerPoint Colibri V5』を購入しました

2017.05.17
OS10.12 macOS SierraでVPN接続してからルーティング情報を加えるAppleScript

2017.04.21
Macのセキュリティは「ドアを閉めて」「ワクチンを用意して」そして「ルールを守る」だけでだいたい大丈夫！

2017.04.16
ブログ用途など静止物の撮影ならアマチュアでも簡単に活用できる『テザー撮影』のススメ

2017.04.07
Amazon Fire TV Stick 2nd（日本発売2017年版）は前モデルからの完璧なアップデート版

2017.04.06
Dropboxアプリ（バージョン42.2）でRawファイルをサポートしたけど一部メーカーは蚊帳の外だった

2017.04.05
知らなくても損はしないけど、知っていればもしかしたら便利かもしれないMacオーナー4つのTips

2017.04.04
iOSデバイスのカメラロールに作成したアルバムの管理に便利なアプリ『IOTransfer』

2017.04.03
まるで教科書のようなレンズ『Carl Zeiss Planar T* 50mm F2 ZM』

2017.04.02
冷蔵庫にホイップクリームが常備している生活のススメ

- 同じカテゴリーの記事 -

インターネット WordPress
Chrome56からSSLで保護されていないWebページでパスワード入力を求めると警告が表示されます

インターネット WordPress
旧バージョンhttpや非Python環境でもLet's Encryptを利用可能にする『acme.sh』

インターネット WordPress
WordPressで投稿済み記事内の文字列をfunction.phpから置換する方法

インターネット WordPress
Googleがschema.org（JSON-LD形式）のパンくずリストをサポート開始したのでWordPressで対応してみる

インターネット WordPress
Googleウェブマスターツールは構造化データを重要視してるっぽいからWordPressで対応してみました

インターネット WordPress
WORDPRESSからSNSへの更新通知に『Social Networks Auto Poster』をオススメ

インターネット WordPress
WordPressを使ってホームページを作るのに便利な無料のテーマや写真やアイコン3×3

インターネット WordPress
crocodile notebookも4年目なので、ユーザビリティについて考えてみた結果

インターネット WordPress
WordPressへの不正アクセスが当ブログでも！忘れてた対策を.htaccessで施した！

インターネット WordPress
iTunesアフィリエイトをPHGへ書き換える前に、バックアップとリストアについて理解を深めましょう

インターネット WordPress
リンクシェアをPHGのリンクURLに書き換える、べつに簡単ではない方法

インターネット WordPress
PHGからiTunesアフィリエイトの承認連絡きた！さっそく口座開設しました

インターネット WordPress
Google Adsenseの広告コードを修正する4つの方法と、見落としがちなポリシー違反

インターネット WordPress
SEOとか考える前に基本をおさらい。.htaccessとrobots.txtを見直そう！

インターネット WordPress
.htaccessのRedirectRuleでURLクエリーを含めた301リダイレクトを設定する方法

併せ読みに選ばれている
記事はこちらのようです

管理者ユーザ名の変更やログイン強化を施してWordPressへの不正アクセスに備えよう！

管理者ユーザ名の変更やログイン強化を施してWordPressへの不正アクセスに備えよう！

wordpressに対して不正アクセスを試みサーバを乗っ取ろうとするケースが増えてるそうです。被害者となる前にできるだけのことを、できるだけ簡単にやっておきましょう！

iTunesアフィリエイトをPHGへ書き換える前に、バックアップとリストアについて理解を深めましょう

iTunesアフィリエイトをPHGへ書き換える前に、バックアップとリストアについて理解を深めましょう

これからいろいろな方法でiTunesアフィリエイトリンクを書き換える方が続出すると思いますが、その前にバックアップについてもういちど考えてみませんか？

WordPressへの不正アクセスが当ブログでも！忘れてた対策を.htaccessで施した！

WordPressへの不正アクセスが当ブログでも！忘れてた対策を.htaccessで施した！

ブログが重いなーと思ったら管理者ページへの不正ログインを試みられていた当ブログ。移設の際に対策するのを忘れていたら運悪いことに来てました。

《プラグイン17選》WordPressでブログを始めたい方へ捧げます《テーマ4選》

《プラグイン17選》WordPressでブログを始めたい方へ捧げます《テーマ4選》

WordPressでブログを始めようとしてる人、始めたけどもう少し手を加えたい人。そうした方の参考になればと思い、ボクが活用しているプラグイン17本を纏めてみました。あわせて今気になってるテーマを4つご紹介。

ブログなどWebサイト上へ安全にメールアドレスを掲載する方法

ブログなどWebサイト上へ安全にメールアドレスを掲載する方法

WordPressでコメント欄を設けてる人にはおなじみのCaptchaを利用して、簡単・安全にメールアドレスが公開可能になるサービスです。

ブログのサーバをServerQueen共用サーバからServersman@VPSに切り替えました

ブログのサーバをServerQueen共用サーバからServersman@VPSに切り替えました

値段も安いしたいした期待もしていなかったVPSサービスが意外と悪くないので、サーバスペックについて残します。契約を検討している方の一助になれば。