WordPressのブルートフォースアタック対策をしてみた

今年に入ってからWordPress等のCMS狙い撃ちで、ブルートフォースアタックというIDとパスワード総当たり攻撃が頻発していると言う情報が流れた。総当たり攻撃なので、adminみたいな簡単なIDやパスワードだと突破されてしまって、いろいろと凄まじく面倒くさいことになる(業務で経験済み)。

当ブログでもWordPressを使っており、いくつか対策をしたのでご紹介。

1.まずログイン履歴を調べる。
プラグイン「狂骨」をインストールする。

プラグイン:WordPress > Crazy Bone > WordPress Plugins

するとユーザータブの中に「ログイン履歴」という項目ができる。何日か経てば結構な数の不正ログインが記録されると思う。

当ブログでは以下のような感じ。
130705

インストールして3週間くらい経つけど、7月4日前後が非常に多かった。これだけ並んでると壮観ですらある。

2.2段階認証を設置する。
当ブログでは最初からIDもパスワードも簡単では無い(と思う)ものに設定していたけど、さらに2段階認証を設置した。
これはスマートフォンアプリ「Google Authenticator」と同名のWordPressプラグインで設置することができる。

Google Authenticator

Google Authenticator
Google, Inc.
ジャンル: ユーティリティ
リリース日: 2010-09-20
価格: 0円 iTunesで見る
posted with sticky on 2013.7.6

 


プラグイン:WordPress > Google Authenticator > WordPress Plugins

これを設定しておけば、例えIDとパスワードが突破されたとしてもスマートフォンのアプリ上に表示されるコードを入力しない限りログインは不可能。しかもコードは20秒で新しくなるので、かなり有効といえると思う。
上のキャプチャー画像でも、しっかりとブロックしていることがわかる。

欠点といえば、手元にスマートフォンが無いとWordPressにログインできなくなるということだが、もし仮に2段階認証を設置せずに突破された時のリスクを考えると、安いものだと思う。
iOSアプリの他にAndroidアプリでも出ているので、もし複数の機器で設定できるのであれば予備で設定しておいた方が良いかも。

何はともあれ、世知辛い世の中です。プラグインとアプリの作者さんには感謝。WordPress使う人はぜひ対策した方がいいと思う。

参考にした記事
WordPress のログイン履歴を保存するプラグイン「狂骨」
WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone
Googleの中の人も使ってるらしいWordPressでGoogle2段階認証を使うプラグイン
Google 認証システムのインストール

関連記事:

  1. All In One WP Security & Firewallを導入してWordPressのセキュリティ対策を行いました
  2. 2014年に行ったWordPressカスタマイズまとめ
  3. ブログをAMP(Accelerated Mobile Pages Project)対応しました
  4. またまたWordPressのテーマを変更してみました
  5. WordPressのブログを高速化するためにやったこと
  6. WordPressログインURLリダイレクトでブルートフォースアタック問題解決…?
  7. ブログをHTTPS化しました
  8. ブログのテーマをSnow MonkeyからUnitoneにリニューアルしました
  9. ブログのテーマをSnow Monkeyに変えた話

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

コメントは日本語で入力してください。(スパム対策)

CAPTCHA