harappa Office

大阪府堺市を中心に中小企業、個人事業主のみなさまのウェブマーケティング支援を行っています

[WordPress]こんな零細ウェブサイトでもブルートフォースアタックされたので警告と対策

      2013/11/03

あなたは狙われている。
photo by Angelo González

暑いっすね。暦のうえではもう秋らしいっすね。なのにチャリ5分漕いだらプールにでもダイブしたかのような濡れっぷりです。新陳代謝は恐ろしく良いのに、お腹周りのお肉がとれません。どうもharappa岡本です。

さて、以前からWordpressユーザーには話題のアカウント乗っ取り。adminアタックとか、ブルートフォースアタックとか、いろんな言葉で注意喚起されています。何を隠そう(隠してない)当サイトもWordpressのお世話になっておりまして、そんな弱小零細ミクロヘタレなサイトでも、話題のブルートフォースアタックを受けております。今日は状況の共有ととった対策をご参考までに共有したいと思います。

 

何が起こっているか

いきなりなんのこっちゃ、と思われる方も多いでしょう。まずは何が起こっているのかご説明します。

WordPressシステムへ第三者がログインを試みている

一言でいうとこういうことです。わたしやログイン権限を付与している関係者以外の誰かが、harappaサイトを管理しているWordpressシステムへのログインを試みている。勝手に知らない誰かがログインを試みているので、不正ログインを試みている、と表現してもよいでしょう。

ユーザー名、パスワードを入力してログインを試みている

harappaサイトの場合、ユーザー名「admin」に対して、推測しやすい、または適当につけてしまいやすいパスワードの組み合わせで何度かログインを試みている形跡がありました。

↓クリックで拡大

 

ログイン履歴 ‹ harappa — WordPress

一番右の欄ですね。ログイン画面で入力したユーザー名とパスワードの組み合わせが残っています。恐らくこういうことをする輩のコミュニティで出回っている組み合わせなのでしょう。ちなみにユーザー名「admin」はデフォルトでこうなっているので、そのまま使っている管理者も多いでしょう。

 

不正ログインが成功するとどうなるのか

現状は突破されていないのですが(というかadminアカウント無いですし)、仮に突破されるとどういうことが起きるのか。案外このあたりに触れているブログが少ない(というか対策ばっかり)。リスクをちゃんと認識しましょうということで、考えられることをいくつか挙げてみます。

管理者アカウントを削除され、ログインできなくなる

仮にユーザー名「admin」がWordpressの管理権限を持つユーザーで、あなたが使っているアカウントだったとしましょう。不正ログインに成功すると、別の管理者権限アカウント(仮に「invader(=侵入者)」とします)を作成します。この時点で管理権限アカウントはadminとinvader。そしてinvaderアカウントで再度ログインし、adminアカウントを削除。こうすることであなたはいつものadminアカウントでログインすることができなくなります。かつ侵入者のみが事由にサイトをいじくれる状態になる、そういうことです。

WordPressの機能を悪用される

WordPressにはプラグインを利用して様々な機能をサイトに追加できます。これがWordpressの人気たる所以の一つでしょう。そうです、不正ログインされるとその機能をすべて悪用される恐れがあります。例えば…

会員のメールアドレスが抜き取られる

WordPressのプラグインには、会員限定コンテンツが作成できるものがあります。会員登録の際に入力したユーザー情報(いわば顧客情報)を抜き取り、スパムを送る、転売する、など悪用の手段として利用されるかもしれません。あなたのサイト名義でスパムを送られてしまったら、あなたの信用問題に関わってきますよね。

顧客の個人情報が抜き取られる

わたしは利用したことが無いのですが、ECサイト(通販サイト)向けの決済プラグインなどもあるようです。必要な機能は一通り揃っていて、顧客の注文情報や履歴、届け先住所ももちろん管理されているでしょう。未確認ですが決済情報も何かしらあるのでしょう。これがすべて閲覧可能になってしまいます。ということは、説明するまでもないですね。

ウイルス配布の拠点にされる

サイト内に悪意あるプログラムを仕込まれて、あなたのサイトがウイルス配布の拠点のひとつにされるかもしれません。もしあなたが普段使っているアカウントを削除せず、サイトの情報も改ざんせず、前述の顧客情報の悪用もせず、ウイルス配布のためだけにサイト改ざんされたら、気付かないうちにあなたのサイトがウイルスの拠点になっていた。そんな可能性もあり得るということです。

あなたのサイトが突然アダルトサイトになるかもしれない

これは極端な例ですが、コンテンツの書き換えが可能になりますので、ある朝突然あなたのウェブサイトがアダルトサイトになる、そんな可能性もあります。

などなど。おっそろしー。

 

対策はどうすればよいか

これはWordpressサイトに限ったことではないですし、サイトの内容によって対策の取り方はまちまちでしょう。検索すると対策はたくさん出てきますので、ここでは一般的な考え方と、わたしが現段階でとった対策を共有します。

ユーザー名「admin」は削除。管理用の別アカウントを作成

現状はユーザー名「admin」に対してアタックされていることが多いようです。他にも「administrator」や「root」などのユーザー名もあるようですが、Wordpressに初期設定されている「admin」を使い続けるのはやめましょう。管理用の別のアカウントを作成したうえで「admin」を削除するのがよいでしょう。

パスワードは推測されにくいものに変更

12345やasdfg(キーボードのaからひとつずつ右へ)など、推測されやすいパスワードは即刻変更しましょう。サイトのURLやサービス名、あなたの名前なども使わないのが懸命です。パスワードの組み合わせは自動で全組み合わせを試すことが多いですので、長い方が懸命ですが、英数字を組み合わせるなどして工夫しましょう。

アカウントの管理、アクセスの監視をする

複数名で管理を行う場合は徹底したアカウントの管理を行いましょう。同時にアカウント毎のアクセスを監視することも有効でしょう。うちは最近ゲストブロガーを迎えており、ライターさんには非常に申し訳無いのですが、下記プラグインでアカウント毎のアクセスを定期的に監視し、同時に不正アクセスの履歴を監視しています。さきほど貼付けたログ画面もこのプラグインの画面です。

一定回数ログインに失敗すると制限がかかるようにする

現状、侵入者は一気に何度かログインを試した形跡があるので、一定回数ログインに失敗するとログインに制限がかかるようなプラグインを導入しました。

 

その他にも、二段階認証機能をつける、.htaccessでIP振り分けを行うなど、様々な対策手法がありますが、わたしのような顧客情報を扱わないサイトだと基本的な対策としてはこれぐらいでしょうか。

 

まとめ

さて、まとめます。

何が起こっているか

  • WordPressサイトを標的としたアカウントのっとりが継続的に行われている
  • 主にユーザー名「admin」に対して攻撃が行われている

のっとられるとどうなるのか

  • 本来の管理者がログインできなくなる恐れがある
  • WordPressの機能を利用して様々な悪用がされる恐れがある
  • プラグインの機能もすべて悪用される恐れがある

どういう対策をとればよいか

  • ユーザー名「admin」の削除
  • パスワードの変更
  • アカウント管理、アクセスの監視
  • アタックに対する制限
  • その他サイトに応じた対策を検討

 

さて、いかがでしたでしょうか。

珍しく長文になりましたね(笑)。割と蚊帳の外だった話題だった方も多いのではないでしょうか、でも、いざ我が身に起きていることとなるとちゃんとしないといけませんね。

 

それでは今日はこのへんで。

この記事を書いた人

harappa 岡本
harappa 岡本harappa 代表/Web解析士/愛玩動物飼養管理士
1980年大阪府堺市生まれ
広告・ウェブ制作ディレクター、プロデューサーを経て、2012年harappaとして活動開始。紙媒体、ウェブ媒体問わず、企画、要件定義、プロジェクトマネジメント、制作に関わるひととおりのディレクション、プロデュースの実務。ウェブサイトのアクセス解析、ヒューリスティック分析など調査実務、最近ではSNS運用やウェブに関連する講師もやっています。
もうちょっと詳しい自己紹介はこちら。
facebookページでは裏話なんかも。

 - WordPress, お役立ち, セキュリティ, ブログ

  関連記事

ウェブサイト制作の見積りをチェックするポイント6つ

photo by Abode of Chaos 暑い。2013年、関西圏では8〜 …

すきま産業だから考えるべき、ごく当たり前な4つのポイント。

photo by cyawan みなさんお気づきでしょうか。当ブログの画像には本 …

タスクで一杯になったらすべてを吐き出す。ホワイトボードを使った脳内整理のススメ。

photo by Karen Roe 2013年後半〜2014年前半までの約半年 …

世間では期末につき。フリーランス活動3ヶ月のまとめ。

photo by by epSos.de もうすぐ4月ですね。ブログもご無沙汰し …

大阪のウェブコンサル・コンサルティングってどうなのよ。ちょっとGoogle先生に聞いてみた。

photo by goingslo 今年は桜が散るタイミングに差がありませんか? …

Red Bull Street Style 2013 に挑むディフェンディングチャンピオンが状況を冷静に分析して思わず唸った。

久々にブログ連投。 最近はテレビ見るよりYoutube見てることが多い。エンタメ …

facebookの公開投稿をブログなどに埋め込むことが可能に!ついでにうちの犬畜生を紹介!

photo by Howard Dickins 今日蒸し暑い!そのへんに水蒸気が …

「Why?」と問い続ける思考で、クリエイティブの目的をハッキリさせる。

photo by Raymond Brown harappa岡本です。 ちかごろ …

amazon marketing services amazon pages
「Amazon Marketing Service」の「Amazon Pages」申請に落ちた

当たり前といえば当たり前なんですけど。 Amazon Marketing Ser …

スタバの無料Wi-Fiに接続してみたけど、やっぱり公衆無線LANは怖い。

スタバでスマホを触ってるとき、ふと無料Wi-Fiスポットがあることを思い出して接 …

mautic is open source marketing automation