WordPress Plugin : loginぺージアクセスのたびに管理者にEメールを送信してくれるWP Login Alerts by DigiP
WordPressのログインページにBrute Force攻撃して、進入しようとしているハッキングがはやっているそうですね。
Massive botnet using brute force attack to target WordPress sites – 2013年4月13日
Brute Force攻撃とはハッカーが、良く使われる簡単なパスワードリストを全部試してみてログインできるかどうかを試したり、アルファベットと数字の組み合わせを全部試してみてログインできるかどうかをやってみたり、すること。
当然のことですが、一度では「推測」が当たらないので、同じ時間帯に違う推測パスワードで何度もログインをトライします。
何回(何十回、何百回)かでうまくログインできれば、シメシメ。だめだったら、次のサーバーへ犠牲者を求めて移ります。
まあ、これを防ぐには、パスワードを簡単に推測できないようなものに変えることです。大文字・小文字・数字の組み合わせ。長い文字列。
筆者は、意味の無い4文字大文字、5文字小文字、3桁数字の合計12文字を組み合わせています。
したがって、第三者が簡単に筆者のパスワードを推測できない自信は、あります。
しかし、ひとつのサイトでそのパスワードが知られると、他のサイトでも同じパスワードを使っているところは不正侵入される可能性は、ありますが。
これまでもサーバー管理やWordPressサイト管理の経験から、管理者ログイン名でのBrute Force攻撃は十分経験していますので、このサイトでも数ヶ月に一回、そのような痕跡があることはアクセスログで見つけています。しかし、どうしても対策が後手に回ってしまいます。
アクセスログを解析して気が付いた時には、もう、ハッカーはBrute Force攻撃を諦めて終了していた後だったりします。
100数十回で諦めてくれるハッカーも居れば、1000回以上もログインページをアクセスして(当然1000個以上の推測パスワードでログインをトライする)いる形跡も、後でわかったりします。
“WordPress Plugin : loginぺージアクセスのたびに管理者にEメールを送信してくれるWP Login Alerts by DigiP” の続きを読む