WordPress講座、サーバー情報、強力なプラグイン、綺麗なテーマ(テンプレート)の紹介

WordPressセキュリティープラグイン!ブルートフォース攻撃大丈夫?

たて

ブルートフォース攻撃知ってますか?

WordPressサイトを狙ってブルートフォース攻撃(総当たり攻撃)が流行っています。
最近ではだいぶ収まりましたが一時期は毎日のように激しい攻撃を受けていました。
 
Wordpressは管理サイトにログインするときにユーザー名とパスワードを入力します。つまりユーザー名とパスワードがわかれば誰にでもサイトを自由に変更が出来ます。
 
ブルートフォース攻撃とは総当たり攻撃の事で簡単に言うと”かたっぱし”にユーザー名とパスワードを入れまくり組み合わせを見つけるまで繰り返されすと言うものです。
 
これによりWordpressサイトを乗っ取り、または管理者に気が付かないように悪意あるプログラムを埋め込まれてしまいます。
 
原始的な方法だけに対処方法がなく恐怖を覚えましたが、幾つかの方法でブルートフォース攻撃を邪魔することは可能です。
 
邪魔とは総当たり攻撃なのでいつかは解読されてしまう可能性があるのでこのような言葉を使っていますが、現実にはほぼ解読できない邪魔の方法があります。
 
ここに来られた方でまだ対策をしていない方は今すぐにでも対応をする事をおすすめいたします。
 
 

WordPressの設定による保護

ブルートフォース攻撃でも”ユーザー名”と”パスワード”を同時にランダムアクセスしていては幾ら時間があっても解読が出来ません。ブルートフォース攻撃の方法として”ユーザー名”を決め打ちして”パスワード”を総当たりして行く方法をとられる事が多いようです。
 
”ユーザー名”に入れられるのは”admin”とか”サイト名”,”ドメイン名”とWordpressユーザーが最も使っているであろうワードを”ユーザー名”に決め打ちをします。特に”admin”はWordpressインストール時のデフォルトユーザー名の為、狙われやすくなります。
 
WordPressの”ユーザー名”を関連性がないワードに変更するだけでブルートフォース攻撃の成功をかなりの確率で抑えることが可能になります。さらに”パスワード”を長くすることで総当たり攻撃の時間を長く出来ます。
 
これがWordpressの設定による最低限の対処方法です。管理人も滅茶苦茶に長いパスに設定し直しました。
ウイルス

WordPressの最強のプラグインを使う

まず初めに設定して頂きたいのが”Simple Login Lockdown”!
 
管理人のWordpressサイトには必ず入れているプラグインです。このプラグインは”ユーザー名”と”パスワード”を一定の回数間違えると設定した時間ログイン出来ないようにするプラグインです。
 
これにより総当たり攻撃をするブルートフォース攻撃は時間的観点からみると現実的に不可能になります。アクセス解析ツールでログを見ると指定した回数で諦めていることが確認できます。管理人もこのプラグインを採用してからは安心して眠れるようになりました。
 
次に入れておきたいプラグインは”WP-Ban”!
 
設定したIP、ホスト名、サイトからアクセスを拒否できるプラグインです。アクセス解析ツールから不正アクセスしているIP、ホスト名、サイトを調べ、アクセスが出来ないように設定できます。
 
このプラグインはブルートフォース攻撃だけではなくリファラースパムにも効果があります。
 
取りあえずWordpressサイトを運営しているユーザーは最低限これらの対策をしておく必要があると思います。
 
参考にしてください・・・・・
 
追記:WordpressのID変更は意味がない事が判明!下記の記事を絶対見てください。
WordPressのIDは丸わかりだぜ!ブルートフォースアタックは逃げられない?

関連記事

コメント

  1. この記事へのコメントはありません。

*



にほんブログ村 小遣いブログ アフィリエイトへ
にほんブログ村

QLOOKアクセス解析
1G4nmzdIc9r9FUV1402471565_1402471688
WordPressテーマ「BlogPress (TCD010)」
1位:このサイトのテーマ(*^^)v(TCD010)

WordPressテーマ「Gorgeous (TCD013)」
2位:PVがかなり上がるぜぃ(^O^)(TCD013)

WordPressテーマ「CUBEY (tcd023)」
3位:アドセンスのクリック率UP!(TCD023)

ボタンマルシェ - ButtonMarche
プロデザインのボタン素材完全無料!