スマートフォン・タブレットからインターネットサーバーオペレーション 2012~2015
WordPress を利用しているサイトへ大規模な不正ログイン攻撃(“admin” アカウントに対して、ブルートフォースアタック)が話題となっています。 WordPress を標的とする攻撃は以前から度々あるようなのです […]
WordPress を利用しているサイトへ大規模な不正ログイン攻撃(“admin” アカウントに対して、ブルートフォースアタック)が話題となっています。
WordPress を標的とする攻撃は以前から度々あるようなのですが、このたびの攻撃の特徴は、この攻撃を仕掛けているボットネットに9万件以上の IP アドレスがあり、異なる IP で攻撃を続けるという点がいわれています。
わたしが運営してるサイトのひとつでも、2013年4月10日に不正ログイン攻撃のログを確認しています。ただし、単一の IP アドレスであることから、現在話題の攻撃とは異なるのかもしれません。
対策について、Google 検索しながら検討してみました。
まずは、admin アカウントの削除があります。そして、パスワードを複雑にして強度をアップすることがあげられます。さらに、WordPress 本体、テーマ、プラグインに最新のアップデートを適用することもあげられています。
その上で、プラグインを利用している方も多いようです。例えば、Limit Login Attempts プラグインは、設定した回数のログインに失敗した ときに、設定した時間で、その IP アドレスからログインを制限するものです。
同様の機能のプラグインも多いのですが、今回話題となっているブルートフォースアタックでは、異なる IP で攻撃を続けることから、これらの機能のプラグインでは防御しきれない上に、場合によっては、プラグインの IP 記憶領域管理へのオーバーフローアタックになるかもしれません。
WordPress のログインページの所在は、標準でインストールされているサイトであれば容易に知ることができます。この点について対策をとりたいと考えている方も多いようです。わたしもそのひとりです。
Stealth Login Page プラグインは、ログインページの URL に設定したキーワードを付加することによって、標準のログインページのURL ではアクセスできないようすることができます。リダイレクト回数が多くなることが懸念されますが、安易にログインページにアクセスされることはなくなりそうです。
.htaccess において、ログインページのファイルにだけ SSLRequireSSL を設定すると、https でアクセスされた時だけログインページが表示されます。これをベースにして .htaccess レベルで制限する方法も考えられそうです。