レンタルサーバからWordPressユーザーに緊急メールが届きました。どうやらこのブログでもブルートフォースアタックを受けたようで、サーバー管理者が対策を講じてくれたようです。ブルートフォースアタックで被害を受けないようにこのブログで施している現在のハッキング対策をまとめてみまいした。現在では3つの対策を施しております。
サーバーからの緊急メール
その前に、利用しているXserverからの緊急メールは以下の通りでした。
![image_thumb[8]](https://www.amamoba.com/wp-content/uploads/2013/04/image_thumb810.png "image_thumb[8]")
メールを読んでいると、このブログでもブルートフォースアタックを受けたことが分かります。
Xserver管理者が講じた対策は以下の通りです。
![image_thumb[9]](https://www.amamoba.com/wp-content/uploads/2013/04/image_thumb910.png "image_thumb[9]")
![image_thumb[10]](https://www.amamoba.com/wp-content/uploads/2013/04/image_thumb1010.png "image_thumb[10]")
海外IPアドレスから我がWordPress設置URLへのアクセスを遮断してくれたようです。
とは言っても、ブルートフォースアタックによる10万にも上るIPアドレスからのアクセスを全て遮断できるとは限りません。ですから十分なハッキング対策をしなければなりませんね。
ブルートフォースアタックとは?
そもそもブルートフォースアタックとは何でしょうか?
セキュリティ用語事典[ブルートフォースアタック]によると、「パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号化できるか試みる。」とあります。
恐ろしいですね。だれしもパスワードは忘れたくないと思い、つい意味ある文字列にしてしまう心理を突いたものです。
今回の攻撃は、WordPressの初期ユーザーのadminに対するものが大半だったようです。それで絶対に破られない強固なユーザーIDとアカウントにする必要があります。
現在の3つの対策
我がブログで講じている手段は以下のとおり。
■ ユーザーIDのadminを削除し、意味のない英数文字列のユーザーIDと、大小英数文字と記号を取り入れた長く意味のない文字列からなる強力なパスワード作成。
この点に関しては、ブルートフォースアタック対策!ひとまずadminを変更する方法でWordPressのハッキング対策をで書きました。
■ プラグインを利用したWordpressへのGoogle二段階認証の導入。
こちらは、WordPress不正ログイン対策にGoogleの「2 段階認証プロセス」を使用できる「Google Authenticator」の使い方で書いております。
■ 攻撃から保護してくれるCDNサービスを利用する
私はウェブサイトを攻撃から守ってくれる機能付きにCloudFlareを利用しています。⇒ WordPressをCDNのCloudFlare(クラウドフレア)で爆速に!その設定方法とは?|アマモ場
他にも、テーマやプラグインの管理について、ハッキングされない堅牢なWordpressによるブログ運営のまとめ!セキュリティーは最重要事項!で書いております。将来のブログ管理者のために参考までに。
コメント