Crazy Bone ブルートフォースアタック(総当たり攻撃)が見えた!Sixcore でも油断するとやられます。

これは!でした。Sixcoreのサーバー側が対策したので大丈夫と思い込んでいました。が!きちんと?攻撃を受けています。

WordPressのブルートフォースアタック(総当たり攻撃)です。3月あたりから対策が必要と指摘されて、話題になっています。これはWordPressの脆弱性をついてきているワケでなく、adminをユーザーに設定している人がとっても多いことから、片っ端にバスワードを試す攻撃です。

ダイヤル錠を” 0000 ”から” 9999 ”まで全部回したら必ず解錠できます。これです。なので、パッチを当てることでは対策できず、ユーザーが「IDとパスワードを長くて複雑な組み合わせにする」対策しかありません。めんどくさいです。その気持ちを攻撃してくるのです。

海外IPアドレスからの管理画面アクセスを、Sixcoreは遮断しました。なので、安心していました。が、国内からも攻撃を受けていることがわかりました。ちょっと心配なので、さらに複雑なパスワードに変更します。

国外IPアドレス

2013年4月10日のリリースノートです。レンタルサーバー会社が国外IPアドレスからの管理画面アクセスを制限しました。国内からでも誤認識で「ログインできない」とちょっとした騒ぎになりました。

それほど海外からのアタックが多いということですよね、なので、ある意味 安心していました。

対策はした

” admin ”は使っておらず、ちょっと複雑なものにしており、パスワードは長くしており、そうそう突破されないつもりです。加えて、3回間違ったら、30分間ログインできないように「Login LockDown」プラグインを使って、設定しました。

Crazy Bone

関西アンカンファレンスにて、”頭ん中” @msngさんから、そんな対策では”お前のWordPressは死ぬよ”、admin意外のアタックも増えているから。「Crazy Bone」プラグインを使うと、自サイトのアタックログが見ることができるから!と教えてもらいました。

しかも、アップデートされ「ユーザー / パスワード」の記録もとってくれる優れものです。

インストールする時は、” 海外 IPアドレスの遮断対策は良い感じ ”となることを予想していました。

国内からアタック

結果は全く逆のものでした。Sixcoreの皆さん!アタック受けています!国内サーバーからアタックされていました。わずか、3日で885回です。Login LockDown プラグインを使っていなかったら、もっと多くなります。

「 admin 」を使っておられる方はいないと思いますが、たぷん。実際は「 administrator 」も攻撃されています!

Screenshot0520

Sixcoreさんの遮断フィルタの精度が悪い訳ではないので誤解しないでください。Crazy Boneの画面でも「日本」のIPアドレスと表示されています。

ものくろ おおひがしの思ったこと

まさかこれほどの数の国内サーバーからの攻撃があるとは!が正直な感想です。相当数のサーバーがクラックされている証です。もし、ログインされたらPHPからサーバーを乗っ取られてしまいます。なので、被害者から加害者になります。そうなると、もう” 終わり ”です。想像してください。今までの努力が全て無くなる瞬間を。

さらに、最近は辞書にある単語を総当たりしている例もあるとのことです。ドメイン名・著者情報など、コンテンツに埋め込まれた情報から効率良くもはや時間の問題攻撃されます。

私は乗っ取られるが嫌です。1Passwordを使って、ランダムなユーザーとパスワードに変更しました。

みなさんはどう感じられましたか?

パスワード管理に手放せなくなりました

1Password
カテゴリ: 仕事効率化, ユーティリティ

ChatGPTの魅力をブログ記事や講座で発信していたら、講師のお仕事の依頼をいただきました。僕が日常で使っているプロンプトの中から厳選した25をまとめたPDFを販売中です。(返金保証あります)

ご購入はこちら

無料メルマガ

  • ブログに書けないココだけの裏話
  • お得なご案内
  • バックナンバーは非公開
  • 不定期発行
ものくろキャンプ メルマガ
購読登録フォーム
Eメール必須
お名前(姓)必須
お名前(名)必須

講座・ワークショップ に参加する

2023-06-17
13:30 - 15:00
2023-06-22
19:00 - 21:00
2023-06-23
19:00 - 22:00
2023-06-25
10:00 - 12:00
2023-07-01
11:00 - 12:15
2023-07-09
  • ブックマーク

著者情報

おおひがし のぶひと

大東 信仁

1976年大阪生まれ。鳥取大学大学院博士課程(専門は乾燥地農業)を中退後、零細企業の立ち上げに関わり、スタッフ育成・社内ITならびにWEBシステム開発を担当。6億円の受注プロジェクト案件をまとめる。2011年に過労にて就労禁止(双極性障害)の診断を受け、生き方を見つめなおす。双極性障害を克服し、2014年からフリーランスにてWEB・ITコンサルにてWordPressを得意とした活動を行い、1,200名を超えるコンサル実績を持つ。その中で2009年から書き続けているブログは、4,100記事を超え、2016年には月間65万PVを達成した。2018年に法人化し”株式会社あみだす”となる。現在は、コンサルタントに加えて、自己受容と自己理解を広げ、誰もがそのままで命を輝かせるトランスパーソナル心理学をベースとしたカウンセラーとして”心が通う組織づくり”の支援(企業内コミュニケーション改善コンサルティング)を中心に活躍中。


株式会社 あみだす 代表取締役/岡部明美LPL養成講座 認定心理カウンセラー ・セラピスト(業界歴 5年)/ ブロガー / WordPress & Woocommerceが得意 / 親指シフト歴11年/ orz レイアウト開発者

サービス提供領域

  • WEBコンサルティング
  • WEB・コンテンツ マーケティング
  • SEO コンサルティング
  • WEBサイト制作・運用保守サポート
  • EC サイト制作・運用保守サポート
  • WordPress 導入サポート
  • WordPress 運用サポート
  • SNS コンサルティング
  • Youtube コンサルティング
  • 情報発信 サポート
  • IT・WEBの枠組みを超えた経営支援
  • 講師・ワークショップ 運営サポート
  • 心理カウンセリング
  • 企業様向け コミュニケーション研修
  • 経営者様向け サポート
  • 自己成長・探求 サポート

お仕事のご依頼はこちら

WEB・ITコンサルティング

カウンセリング・セラピー

公式LINE

公式LINEにて、不定期ながら、モニターセッションやお得情報などのスケジュール案内や、心と向き合うコツなどを発信し、日常の中でカウンセリングの視点からの”気づき”を公式LINEにて語ります。ぜひ、ご登録ください。

友だち追加

【案内板】

このブログをはじめて読んだあなたへ
ぜひ読んでもらいたい記事を用意しました。

オンラインショップあります

↓ 下のバーナーをクリックすると移動します。


カテゴリー 一覧