WordPressサイトのブルートフォースアタックを予防しよう

公開日:

WordPressサイトのブルートフォースアタックを予防しよう

WordPressサイトに対して、不正アクセスを狙った大規模な攻撃が話題になっています。

まさか自分のサイトが標的になるわけない…と思っていると非常に危険ですので、できる対応はしておいた方がいいでしょう。

そこで、セキュリティ対策として、

  • ユーザー名が「admin」のアカウントがないかチェック
  • 「Simple Login Lockdown」プラグインの導入

を行いました。

ブルートフォースアタックって何だ?

ブルートフォースアタックって何だ?

ブルートフォースアタックとは、パスワードを解読する攻撃手段です。

「あらゆる文字の組み合わせを総当たり」して、パスワードを解読しようという攻撃です。(”総当たり攻撃”といわれています。)

文字の組み合わせには、辞書ツールなどが使われます。
そのため、簡単な(よくつかわれる)単語とかは、あっという間に解読されてしまいます。

WordPressを狙った大規模な攻撃
概要がわかりやすいです。

「WordPressの管理ツール」に対するセキュリティ向上を目的とした国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能の追加について
エックスサーバーも対応してくれてます。

ユーザー名が「admin」になっていないか?

admin-username

まず、管理ユーザー名の王道である「admin」が狙われています。
「admin」「test」「root」などは非常に安易なユーザー名ですので、使わない方がいいですね。

そこで、管理している全サイトのユーザー名を確認しましょう。
もし「admin」の名前になっているユーザーアカウントがあれば削除します。

普段、別のアカウントで運用を行っていると、adminユーザーの存在を忘れている可能性があります。
ユーザー一覧から「admin」がないかをしっかり確認しましょう。

試験的に立ち上げたはいいが、その後は放牧状態…みたいに忘れられてるサイトも要チェックですね。

ログインに失敗したらロックするプラグイン

ブルートフォースアタックは「総当たりの攻撃」というだけに、正しいパスワードに当たるまで、とにかく何回もアタックを試みます。

そのため、認証失敗の回数に制限をかける事は、予防の一つになります。

パスワードを何回か間違えたらロックをかける「Simple Login Lockdown」というプラグインを導入してみました。

パスワードを指定した回数間違えると、、、
パスワードを指定した回数間違える

指定した時間だけログイン画面がロックされる!
指定した時間だけログイン画面がロックされる!

もちろん、これで完璧!というわけでは無いです。
ロックを見越して、時間を空けてからまた攻撃するって事もある様です。

しかし、導入していないよりは安全度が高いのではないでしょうか。(過信は禁物!)

まとめ

具体的な手順などは、以下の記事がわかりやすく参考になりました。

新規ユーザーの追加とadminユーザーの削除方法 – WP SEOブログ
手順がわかりやすく解説されています。

管理画面への不正アクセスを予防できる『Simple Login Lockdown』を使ってみた – WEBMETAL
プラグインについて丁寧に解説されています。

今回ご紹介した対策が、完全に阻止できるものではありません。
しかし、最低限できる対応はやっておく事が大切ですね。

最近の更新記事