WordPressサイトへの攻撃、ブルートフォースアタック

Wordpress

WordPressなどのウェブサイトはコンテンツの管理が簡単な反面、ハッカーからの攻撃も受けることもあります。

spyder-web

攻撃されやすい理由を推測

WordPressが攻撃に曝されやすい理由はいくつか考えられますが、

  1. WordPressで作られたサイトの数が多い
  2. 既知のセキュリティホールがふさがれていないサイトも多い
  3. ログイン画面までの道のりが決まっている(サイトURLから入れる)
  4. 必ずPHPが有効になっている

だと思います。サイト数が多いのは、母数が多ければセキュリティを突破される数が増えるからなのですが、WordPressより圧倒的にサイト数が少ないJoomlaのサイトのほうが危険だというブログ記事もあったりします。

65%のサイトが未アップデート?

Word Press、Drupal、Joomlaのサイトは3分の2以上が古い! | Web担当者Forum
(ユーザー投稿)世界中で使われているWord Press、Drupal、Joomlaのサイトの65%以上はシステムが最新バージョンにアップデートされていないという

少し古い情報ですが、WordPress/Joomla/Drupalで作られたサイトの65%が公開されているアップデートをせずに運用しているという話です。

セキュリティホールは今は見つかっていないものが時間とともに見つかっていくものですから、アップデートはしておかなくてはいけません。

ハッキングを受けたら?

WordPressなどのサイトがハッキングを受けた場合にどのようなことが起こるのか、ですが、

  1. 他のサイトへの攻撃に使われる
  2. マルウェアを配布させられる
  3. マルウェアを含むサイトやフィッシングサイトに誘導される

ような被害が起こります。どちらも受けたくはありませんが、外部サイトに誘導される被害のほうが気づきにくく、知らないうちに被害を受けた上にバックアップも汚染されていて残念なことになりやすいと思われます。

WordPressサイトを狙った改竄について
他社さん制作のWEBサイト(WordPressで作成)のトラブル対応事例です。★=>文字のところ、追記です(2013/08/20)ブックマークやURLの直アクセスはできるのに、Yahoo!やGoogleからアクセスすると、変な海外サイトに飛ばされるというものです。原因は、WordPressのテーマファイル(PHPファイ...

ブルートフォースアタック

単純で、なおかつもっとも多い(と思う)ものが、ブルートフォースアタックと呼ばれるもので、ログイン画面へ接続してIDとパスワードを自動入力して管理画面への接続を試みます。

サイトの人気とブルートフォースアタック

サイトの人気があるかどうかと、この攻撃を受けやすいかどうかには相関がほとんどないように思います。

私が作っているサイトは今のところ月間ページビューが5万いきませんので、人気サイトではありません。ここのアクセス数は限りなく低いのですが、それでも最低週に一回はブルートフォースアタックを受けています。

また、他のサイトを作り始めようと思ったときに「トップページがindex.html」でCMSで作られたページは何もない状態でしばらく置いておいた(アクセスは実質ゼロ)のに、ブルートフォースアタックを受けたことがあります。

ブルートフォースアタックへの対策

完全な対策はありませんが、少しでも対策していればよほど価値があるサイトでなければ、それ以上攻撃をされることは少ないと思われます。

対策法としては、

  • ユーザー名とパスワードをしっかり設定する
  • ログイン試行回数を制限する
  • ユーザー名を見えないようにする
  • ホワイトリストを利用する

ユーザー名とパスワード

WordPressの標準ユーザー名は「admin」です。Joomlaも同じで「admin」です。ほとんどのブルートフォースアタックはユーザー名「admin」を使って行われます。

ユーザー名を「admin」以外に設定して、ある程度複雑なパスワードを設定していれば、ブルートフォースアタックはほとんど大丈夫です。

標準では、ユーザー名を「admin」以外にしていてもそれを見る方法があるのですが、その方法を使った攻撃は少な目です。このサイトでは、記録されている分では10回ブルートフォースアタックを受けています。

そのうち、

  • 8回は「admin」
  • 1回は「admin@tek2tech.com」
  • 1回は正しいユーザー名

で試みられていました。(ユーザー名を見えにくいようにする前のデータです)

ただし、ログイン試行回数を制限していないといつかログインできてしまうかもしれません。

ログイン試行回数を制限するプラグイン

私は、「Limit Login Attempts」というごく単純なプラグインを使っています。プラグインライブラリーをみるとほかに高機能なものもあり、ログインできるIPを制限する機能がついているものもあるはずです。

ユーザー名を表示しない

まず、最低限、投稿に使う名前をユーザー名と同一にしてはいけません。

「ユーザー」から変更できます。

つぎに、投稿者アーカイブ機能でユーザー名が表示されないようにすれば、リスクを低減できます。

URLに表示されるユーザー名を消したいです
サポート » 使い方全般 » URLに表示されるユーザー名を消したいです URLに表示…
301 Moved Permanently
Edit Author Slugプラグインの使い方(投稿者アーカイブで表示されるユーザー名(Author Slug)を変更)
Edit Author Slug プラグインは投稿者アーカイブに表示される「Author Slug」の値を別の値に変更できるプラグインです。セキュリティ上の理由から WordPress のユーザー名は外部に分からないようにしておくことが望ましいですが、ユーザー名から自動で作成される「Author Slug」の値が投稿者...

コメント

タイトルとURLをコピーしました