みなさんの投稿記事を読んでいると、仮想通貨やALIS関連のブログ作成にWordPressを利用している方が多いように思いました。
WordPressはその使い勝手の良さから、世界中で広く使われておりソースも公開されておりますので、テーマやプラグインなどの開発も盛んに行われています。反面、オープンソースであるが故、WordPressを狙う悪質な攻撃がとても多いことでも有名です。
ブルートフォースアタックというのは、WordPressnoログインファイルにアクセスし、プログラムを使いログインを繰り返し、サイトを乗っ取るというものです。
簡単なパスワードの場合は数分でログインされてしまいます。
複雑なパスワードでも一ヶ月もあればログインされてしまいますので、狙われたら最後ですね。
だってIDとパスワードがあるから、そう簡単にはログインできないでしょう・・・
そう思うかもしれませんが、
ご利用中のWordPressのアドレスにある単語を加えてアクセスすると・・・
なんと親切にも登録IDを表示してくれます!(えっ!って思うでしょ)
例)www.dadada.com/ の場合 ?author=1 を加えます
dadada.com/?author=1としてEnter keyを押します
すると
dadada.com/archives/author/aaa
IDはaaa です。という具合にわかります。
複数IDを設定している場合には?author=1の1を2とか3に変えて同様の操作をすることで登録しているIDすべてがわかっちゃうんです。恐ろしい~
また、ログインページのある場所もほとんど数パターンしかありません。
dadada.com/wp-login.php
dadada.com/wp/wp-login.php
dadada.com/wordpress/wp-login.php
ログインページのURLがわかり、IDがわかれば、あとはパスワードをひたすら繰り返せばログインされるのも時間の問題となります。
現在、その対策として有名なのが以下の2つのプラグインです。
この2つは必ず入れておいたほうが良いと思いますよ~
偽のIDを表示させることができるプラグインです。
本当のIDはaaaなのに、偽のIDとして123を表示します
dadada.com/archives/author/123
※偽のIDは好きな任意の文字列や記号を設定できます
1)管理ページアクセス制限:ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
2)ログインページ変更:ログインページ名を変更します。
3)画像認証:ログインページ、コメント投稿に画像認証を追加します。
4)ログイン詳細エラーメッセージの無効化:ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
5)ログインロック:ログイン失敗を繰り返す接続元を一定期間ロックします。
6)ログインアラート:ログインがあったことを、メールで通知します。
7)フェールワンス:正しい入力を行っても、ログインを一回失敗します。
8)XMLRPC防御:XMLRPCの悪用を防ぎます。
この2つのプラグインは有名ですから、それぞれの詳しい使い方はネットで検索してみてください。
以上、参考になれば幸いです。
----スカイリープのおすすめ リンク集----
ALISサポーターズ
https://www.alis-supporters.com/
億ラビットくんの裏ALIS
https://alis.ocrybit.com/crypto/
ほーさんの検索 ALIS SEARCH
ALIS TIME オープン!
最後までお読みいただきありがとうございました。
記事作成:17-September-2018
似顔絵イラストレーター @skyleap
■ skyleapのページです。
リンク
■ steemitのマイページ 似顔絵描いてます。
■ Twitterのマイページ