力ずくでパスワードを解読・取得するボットの攻撃が、今週に入って以降WordPressで構築されたサイトに対して大量に行われているという話が出回っています。

仮にクラックされたら、いったいどんなことになってしまうのか・・・。。そんなことになる前にできる対策はしておきましょう。

Attack

攻撃はデフォルトユーザーネームが対象

現在、ブルートフォースアタックが行われている対象は、デフォルトユーザーネーム・・・いわゆる「admin」で利用されているWordPressサイトだとされています。

このデフォルトユーザーネームと、大量の一般的なパスワードを使ってボットネットがクラックを試みようとしているわけです。

これに対抗するため、ユーザー名の変更とパスワードの強化をしておきましょう。

WordPressでユーザー名とパスワードを変更する

「admin」ユーザーで利用している場合は、まずは新たにユーザーを追加しましょう。

WordPress ユーザー追加

サイドバーメニューの[ユーザー]から、[新規追加]を選択します。

New admin users 02

ユーザー追加画面で「admin」以外のユーザー名を入力し、必須項目のメールアドレスを入力しましょう。姓名、ウェブサイトのURLについては必要に応じてどうぞ。

続いてパスワードですが、強度インジケータが「強力」となるものにしておくのが望ましいですね。

パスワード管理アプリケーション「1Password」があれば、パスワード生成機能が使えるので、それを使って作成するのもいいかもしれません。

1Password
1Password App
カテゴリ: 仕事効率化
価格: ¥1,600 (掲載時現在)

こんなWeb系ツールを使うのもアリですかね。

で、ここで忘れちゃならないのが、権限グループです。ここは必ず「管理者」を選択するようにしてください。

ユーザーの新規作成を完了したら、一度WordPressからログアウトし、作成したユーザーで再びログインし、「admin」ユーザーを削除します。

この時注意しないといけないのが、これまで投稿した記事の移行です。
必ず新しく作成したユーザー(このときにログインしているユーザー)に、記事をすべて移行するよう指定してから、削除をするようにしてください。
まかり間違ってこれまで書いた記事がすべて消えることもありますからね。要注意です。

このあたり、英語ですが以下の記事が詳しいので、参照しておくといいですよ。

なお、すでにデフォルトユーザーネームは使用していないという場合でも、パスワードの強度に不安がある人は、できるだけ強度の高いパスワードにするよう、ユーザー編集から新しいパスワードにしておくといいかもしれません。

IP制限にはあんまり効果がないかも・・・?

今回の攻撃に対策するため、レンタルサーバー側で国外のIPアクセス制限機能を実装したりしているところもあるみたいですね。

この対策に関しては、効果があるのかないのか微妙なところらしいです。

というのも、WordPress創始者のマット・マレンウェッグ氏が書いた記事によると、ボットネットは90000件以上のIPアドレスを使っていると言われているそうで、1秒毎に違うIPでクラックを試してくるとのこと。

マット氏いわく、ユーザーネームの変更とパスワードの強化、さらにWordPressの最新版を使うことで、今回のボットネットによる攻撃に限らず安全性が保たれ、問題が起こることはほぼないそうなので、IP制限をかけるよりも、まずは上記を実行しておくことが望ましいでしょうね。

上記の記事も併せて読んで、ぜひ安心できるWordPress環境を作り上げてください。

Commentsコメントしてもらえると励みになります