昨年流行った WordPress へのブルートフォースアタック。
ID 「admin」等の推測されやすいものに対してパスワード辞書アタックを行う事により、IDとパスワードを取得され、WordPressが事実上乗っ取られてしまうといいう物でした。
これ、最近言われなくなりましたが、しっかりとアタックは続いており、普段からこういったアタックを受けない対策を施す必要があります。
どうやって対応したか?
秋田の持っている幾つかのブログ及び、お客様サイトへの対応としては、幾つかのパターンに分けて対応しました。
- 複雑な ID / Pass に入れ替えた
- 日本以外からのアクセスを拒否した
- 予め申請のあった固定IPアドレスのみ許可した
複雑な ID / Pass に入れ替えた
まずはこれが一番重要。
admin や一般的な ID、ドメイン名と同じ ID 等、推測されてしまう ID を使うのをやめました。
また、投稿者名を出さないとか、投稿者名を ID ではなくニックネームを使う等して、IDを推測されにくくしました。
日本以外から管理画面へのアクセスを拒否した
これはあまり効果がないようである。確かに大陸からの攻撃は防げるが、大陸から日本国内のサーバを介してアタックされてしまえば、無意味。
加えて、海外旅行中は WordPress 管理画面に入れないので、情報更新が出来なくなってしまう。作ったけど放置してあるサイト等はこの設定をしたままになっています。
予め申請のあった固定IPアドレスのみ許可した
決められた場所の固定 IP アドレス意外はアクセスを拒否する設定を施しました。
Apach のルートディレクトリに .heaccess というファイルを設定し、以下の情報を記述
<Files wp-login.php> Order deny,allow Deny from all Allow from [ip address] ←アクセス許可する IP アドレスに差し替え </Files>
これで申請のあった IP アドレスからしかログイン画面に入る事が出来ません。
まとめ
うちは大丈夫とたかを括っていると、気がついたらWordPress が乗っ取られた。なんて事態になりかねない。
自宅と一緒だが、WordPress にもしっかりとした鍵をかけておく事をお勧めします。
コメント