毎日暑い日が続きますね。いかがお過ごしでしょうか?
最近の私の悩みは、昨年末からWordpressユーザーの脅威である『ブルートフォースアタック』です。
このサイトも総攻撃されています。
『ブルートフォースアタック』とは、『総当たり攻撃』のこと。
世界的にユーザー数が多いWordpressを乗っ取ることを目的に機械的に攻撃してきます。
「パスワードも数撃ちゃあたるでしょ?」という感じで、3秒おきにbotでトライされています。
世界中から攻撃されています…
と思ったら、最近は日本国内からの攻撃が集中…
確認できた攻撃パターンは主に3つ。
1)ユーザー名はデフォルトの”admin”だと決め打ちされての攻撃
この攻撃が最も多く確認できます。
また、”admin”ユーザーが存在している方は、すぐに新しいユーザーを作成した後に削除することをオススメします。
2)ユーザー名=ドメイン名だと決め打ちされての攻撃
これもやってしまいがちですよね。ユーザー名とドメイン名は別物にしましょう。
3)ユーザー名がなぜかバレてしまっている?!ユーザー名での攻撃
最初にこの攻撃を確認した時は、かなり驚きました。
でも、何も対策していなかった場合、ユーザー名が簡単にバレてしまうのですね。
URLバーで、次のように入力し、エンターキーを押してみて下さい。
「http://”ホームページのURL”/?author=1」
当サイトの場合は、次のようになります。
投稿者別の記事を表示する機能なのですが、フォルダー名が投稿者のニックネームになっています。
もし、”1”で該当しない場合は、2,3・・・と数字を増やしてみると、そのうちHITするはずです。
もし、プロフィール設定で、『ユーザー名』と『ニックネーム』を同じものにしてしまっている場合、クラッカーにユーザー名がバレてしまいます。
実は、私も何も考えずに『ユーザー名』と『ニックネーム』を同じものにしてしまっていました。
もし、『ユーザー名』と『ニックネーム』を同一に設定してしまっていた場合は、すでにそのユーザー名はクラッカーにバレているかもしれません。”adimin”ユーザーと同様に、すぐに新しいユーザーを作成した後にそのユーザーを削除することをオススメします。
プロフィールページで設定の確認ができます。
少し長くなってしまったので、このブルートフォースアタックに対する詳しい対策は次回に。
まずはお手軽にプラグインでの対策についてご紹介していきます。
目下の悩みは、攻撃を防御できても、攻撃自体を辞めさせられていない状況だということです。
サーバーに負荷が掛かっているので、攻撃そのものを無くす方法を模索中です。
この件、詳しい心優しい方がいらっしゃいましたら、ぜひご教授下さい。
No Comments