WordPress 大規模攻撃 !admin を削除してセキュリティ対策を

WordPressサイトに対して、無差別な大規模攻撃が急増しています。内容は”admin”アカウントのパスワードを力ずくで見つけ、サイトを乗っ取ります(管理ツールに対するブルートフォースアタック)。

Wplogin

乗っ取られてはたまりませんし、今度は加害者側になってしまいます。この攻撃を防ぐために「2+1」つのことを行いました。

adminを削除

操作を誤ると、記事を消してしまうのでデータベースバックアップを必ずしてください!。

新規ユーザーを作成して運用していましたが、adminユーザーを削除していない!状態でした。なので、adminユーザーを削除しました。

削除方法はこちらのサイトさんがわかりやすいので参考にしてください。

Login LockDown プラグイン

管理画面へのログインを設定した回数以上間違うと、しばらくの時間はログイン操作ができなくなるプラグインです。今回の攻撃は辞書を使った力ずく攻撃です。つまり、大量のログイントライをしてきます。このプラグイン、一定回数以上ログインを間違うと入力を受け付けなくなります。

今回はadminユーザーを狙っていますが、ユーザーアカウントも力ずくで、不正アクセスを行ってくる可能性は否定できません。今回を期にインストールしました。

設定は下の通りです。

5分間に5回間違うと、60分間はログイン操作を受け付けない

ユーザー名間違いもカウント

ユーザー名とパスワードのどちらが間違っているか?メッセージを表示しない

詳しい使い方は、こちらのサイトさんが詳しいです。感謝。

Sixcore 国外IPアクセス制限

Sixcoreを使っています。多数の攻撃があったために、WordPress管理ツールへ国外IPアドレスからのアクセスを2013年4月10日から制限しました。なお、サーバー設定からユーザーが有効・無効の設定はできます。トラブルなく管理ログイン画面に入れるなら、有効にするべきです。

これにより、海外からの不正アクセスを遮断し、攻撃リスクを少なくできます。

ニュース/マルチドメイン対応高コストパフォーマンス 共有レンタルサーバー シックスコア(sixcore)

データベース接頭子

今回の攻撃での対象でないですが、データベースの初期設定も標的になったことを@mehori さんから教えてもらいました。

なんとデータベース接頭子がディフォルトの「wp_」の場合、標的に狙われるとのことでした。

運用中のデータベースを変更するのはリスクが大きいのと、おおひがしはどのように操作するのかを勉強してからの対策になります。ただ、これから新規にサイトを作るときに、標準設定のまま接頭子を使わないことはセキュリティ対策になります。

皆さんはどう感じられましたか?

この記事を書いた人