今年に入ってからWordPress等のCMS狙い撃ちで、ブルートフォースアタックというIDとパスワード総当たり攻撃が頻発していると言う情報が流れた。総当たり攻撃なので、adminみたいな簡単なIDやパスワードだと突破されてしまって、いろいろと凄まじく面倒くさいことになる(業務で経験済み)。
当ブログでもWordPressを使っており、いくつか対策をしたのでご紹介。
1.まずログイン履歴を調べる。
プラグイン「狂骨」をインストールする。
プラグイン:WordPress > Crazy Bone > WordPress Plugins
するとユーザータブの中に「ログイン履歴」という項目ができる。何日か経てば結構な数の不正ログインが記録されると思う。
当ブログでは以下のような感じ。
インストールして3週間くらい経つけど、7月4日前後が非常に多かった。これだけ並んでると壮観ですらある。
2.2段階認証を設置する。
当ブログでは最初からIDもパスワードも簡単では無い(と思う)ものに設定していたけど、さらに2段階認証を設置した。
これはスマートフォンアプリ「Google Authenticator」と同名のWordPressプラグインで設置することができる。
Google, Inc.
ジャンル: ユーティリティ
リリース日: 2010-09-20
価格: 0円
posted with sticky on 2013.7.6
プラグイン:WordPress > Google Authenticator > WordPress Plugins
これを設定しておけば、例えIDとパスワードが突破されたとしてもスマートフォンのアプリ上に表示されるコードを入力しない限りログインは不可能。しかもコードは20秒で新しくなるので、かなり有効といえると思う。
上のキャプチャー画像でも、しっかりとブロックしていることがわかる。
欠点といえば、手元にスマートフォンが無いとWordPressにログインできなくなるということだが、もし仮に2段階認証を設置せずに突破された時のリスクを考えると、安いものだと思う。
iOSアプリの他にAndroidアプリでも出ているので、もし複数の機器で設定できるのであれば予備で設定しておいた方が良いかも。
何はともあれ、世知辛い世の中です。プラグインとアプリの作者さんには感謝。WordPress使う人はぜひ対策した方がいいと思う。
参考にした記事
・WordPress のログイン履歴を保存するプラグイン「狂骨」
・WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone
・Googleの中の人も使ってるらしいWordPressでGoogle2段階認証を使うプラグイン
・Google 認証システムのインストール
コメントを残す