大東 信仁(ものくろ) WordPressサイトに対して、無差別な大規模攻撃が急増しています。内容は”admin”アカウントのパスワードを力ずくで見つけ、サイトを乗っ取ります(管理ツールに対するブルートフォースアタック)。
乗っ取られてはたまりませんし、今度は加害者側になってしまいます。この攻撃を防ぐために「2+1」つのことを行いました。
adminを削除
操作を誤ると、記事を消してしまうのでデータベースバックアップを必ずしてください!。
新規ユーザーを作成して運用していましたが、adminユーザーを削除していない!状態でした。なので、adminユーザーを削除しました。
削除方法はこちらのサイトさんがわかりやすいので参考にしてください。
Login LockDown プラグイン
管理画面へのログインを設定した回数以上間違うと、しばらくの時間はログイン操作ができなくなるプラグインです。今回の攻撃は辞書を使った力ずく攻撃です。つまり、大量のログイントライをしてきます。このプラグイン、一定回数以上ログインを間違うと入力を受け付けなくなります。
今回はadminユーザーを狙っていますが、ユーザーアカウントも力ずくで、不正アクセスを行ってくる可能性は否定できません。今回を期にインストールしました。
設定は下の通りです。
5分間に5回間違うと、60分間はログイン操作を受け付けない
ユーザー名間違いもカウント
ユーザー名とパスワードのどちらが間違っているか?メッセージを表示しない
詳しい使い方は、こちらのサイトさんが詳しいです。感謝。
Sixcore 国外IPアクセス制限
Sixcoreを使っています。多数の攻撃があったために、WordPress管理ツールへ国外IPアドレスからのアクセスを2013年4月10日から制限しました。なお、サーバー設定からユーザーが有効・無効の設定はできます。トラブルなく管理ログイン画面に入れるなら、有効にするべきです。
これにより、海外からの不正アクセスを遮断し、攻撃リスクを少なくできます。
ニュース/マルチドメイン対応高コストパフォーマンス 共有レンタルサーバー シックスコア(sixcore)
データベース接頭子
今回の攻撃での対象でないですが、データベースの初期設定も標的になったことを@mehori さんから教えてもらいました。
Lifehacking.jp でも WordPressの管理アカウントを admin だったり DB 接頭詞が wp_ のままだった数年前にクラックされた経験がありますです
— M. E. Horiさん (@mehori) 2013年4月14日
なんとデータベース接頭子がディフォルトの「wp_」の場合、標的に狙われるとのことでした。
@monochr データベースの名前が分かりやすいので、自動ツールで破りやすくなるんです。インストール時に数文字加えるだけでその方面は割と大丈夫になりますです
— M. E. Horiさん (@mehori) 2013年4月14日
運用中のデータベースを変更するのはリスクが大きいのと、おおひがしはどのように操作するのかを勉強してからの対策になります。ただ、これから新規にサイトを作るときに、標準設定のまま接頭子を使わないことはセキュリティ対策になります。
皆さんはどう感じられましたか?
