WordPressなどのウェブサイトはコンテンツの管理が簡単な反面、ハッカーからの攻撃も受けることもあります。
攻撃されやすい理由を推測
WordPressが攻撃に曝されやすい理由はいくつか考えられますが、
- WordPressで作られたサイトの数が多い
- 既知のセキュリティホールがふさがれていないサイトも多い
- ログイン画面までの道のりが決まっている(サイトURLから入れる)
- 必ずPHPが有効になっている
だと思います。サイト数が多いのは、母数が多ければセキュリティを突破される数が増えるからなのですが、WordPressより圧倒的にサイト数が少ないJoomlaのサイトのほうが危険だというブログ記事もあったりします。
65%のサイトが未アップデート?
少し古い情報ですが、WordPress/Joomla/Drupalで作られたサイトの65%が公開されているアップデートをせずに運用しているという話です。
セキュリティホールは今は見つかっていないものが時間とともに見つかっていくものですから、アップデートはしておかなくてはいけません。
ハッキングを受けたら?
WordPressなどのサイトがハッキングを受けた場合にどのようなことが起こるのか、ですが、
- 他のサイトへの攻撃に使われる
- マルウェアを配布させられる
- マルウェアを含むサイトやフィッシングサイトに誘導される
ような被害が起こります。どちらも受けたくはありませんが、外部サイトに誘導される被害のほうが気づきにくく、知らないうちに被害を受けた上にバックアップも汚染されていて残念なことになりやすいと思われます。
ブルートフォースアタック
単純で、なおかつもっとも多い(と思う)ものが、ブルートフォースアタックと呼ばれるもので、ログイン画面へ接続してIDとパスワードを自動入力して管理画面への接続を試みます。
サイトの人気とブルートフォースアタック
サイトの人気があるかどうかと、この攻撃を受けやすいかどうかには相関がほとんどないように思います。
私が作っているサイトは今のところ月間ページビューが5万いきませんので、人気サイトではありません。ここのアクセス数は限りなく低いのですが、それでも最低週に一回はブルートフォースアタックを受けています。
また、他のサイトを作り始めようと思ったときに「トップページがindex.html」でCMSで作られたページは何もない状態でしばらく置いておいた(アクセスは実質ゼロ)のに、ブルートフォースアタックを受けたことがあります。
ブルートフォースアタックへの対策
完全な対策はありませんが、少しでも対策していればよほど価値があるサイトでなければ、それ以上攻撃をされることは少ないと思われます。
対策法としては、
- ユーザー名とパスワードをしっかり設定する
- ログイン試行回数を制限する
- ユーザー名を見えないようにする
- ホワイトリストを利用する
ユーザー名とパスワード
WordPressの標準ユーザー名は「admin」です。Joomlaも同じで「admin」です。ほとんどのブルートフォースアタックはユーザー名「admin」を使って行われます。
ユーザー名を「admin」以外に設定して、ある程度複雑なパスワードを設定していれば、ブルートフォースアタックはほとんど大丈夫です。
標準では、ユーザー名を「admin」以外にしていてもそれを見る方法があるのですが、その方法を使った攻撃は少な目です。このサイトでは、記録されている分では10回ブルートフォースアタックを受けています。
そのうち、
- 8回は「admin」
- 1回は「admin@tek2tech.com」
- 1回は正しいユーザー名
で試みられていました。(ユーザー名を見えにくいようにする前のデータです)
ただし、ログイン試行回数を制限していないといつかログインできてしまうかもしれません。
ログイン試行回数を制限するプラグイン
私は、「Limit Login Attempts」というごく単純なプラグインを使っています。プラグインライブラリーをみるとほかに高機能なものもあり、ログインできるIPを制限する機能がついているものもあるはずです。
ユーザー名を表示しない
まず、最低限、投稿に使う名前をユーザー名と同一にしてはいけません。
「ユーザー」から変更できます。
つぎに、投稿者アーカイブ機能でユーザー名が表示されないようにすれば、リスクを低減できます。
コメント