「WordPress」ユーザ名とパスワード、ブルートフォースアタックのセキュリティ対策について考えてみる

最近、WordPressサイトに対しての対規模な不正アクセスがネット上で話題となっていますよね。

今日は、最近WordPressでも話題となっている、ログイン時のブルートフォースアタックについての対策方法、セキュリティを高める方法を記載します。

ブルートフォースアタック

昔からある手法で、パスワードを辞書ツール使い英単語、数字、英単語+数字の組み合せなど、よく使われる組み合わせで総当りに試す方法です。効率は悪いですがパスワードによっては直ぐに解読されてしまう危険性があります。

 

ブルートフォースアタックの対策

ブルートフォースアタックに限った話ではないですが、パスワードに関するセキュリティポリシーを見なおしてみましょう。

推測されるユーザ名・パスワードを使用しない

先ず、対策の1つとして、WordPressに限った話ではないですが、推測されるようなユーザ名、パスワードにしないことです。

ユーザ名であれば、「admin」「root」「administrator」、自分のWebサイト名、他のサービスで使用しているtwitterのIDなどは避けたほうが良いです。8文字以上で推測されない、サイト名などから連想されないユーザ名を設定しましょう。

以下、安易なユーザ名の設定例です

・Administrator
・admin
・root
・自分のブログサイト名
・twitter ID

パスワードは、辞書に登録されている英単語、西暦、住所、生年月日、英単語と数字の組み合わせなどは直ぐに解読されてしまいます。最近では、パスワード解析に「Amazon EC2」などを使ったブルートフォースアタックもあり解析時間も短縮することが可能となっていることから、「アルファベット」+「数字」+「記号」を織り交ぜた8文字以上+共通のパスワードではない、パスワードを作成しセキュリティをより高める為に、定期的にパスワードの変更をするとより安全性が高まります。

以下、安易なパスワードの設定例です。

password
password1234
123456
abc123

共通のパスワードは絶対に使わない

ネットショッピング、Amazonや楽天など全てのサイトで共通のパスワードを使用している場合、1つのアカウントを乗っ取られると全てのアカウントが乗っ取られる可能性があるので、共通のパスワードを使用することは絶対に避けたほうが良いです。

WordPressプラグインでログインロックする

パスワード、ユーザ名の対策が完了したら、ログイン認証回数に制限を掛けましょう。同一IPアドレスからのログインを失敗すると一定期間ログインをロックすることが出来ます。この対策をすれば絶対に安全というわけではないですが、やっておいて損はないです。

Simple Login Lockdownインストール

WordPressの管理画面より、「プラグイン」→「新規追加」を選択します。

スクリーンショット_2013_09_01_17_51

プラグイン検索ウィンドウに「Simple Login Lockdown」と入力し「プラグイン検索」ボタンを押します。

スクリーンショット_2013_09_01_17_51-2

Simple Login Lockdown設定

WordPress管理画面から、「設定」→「Login Lockdown」をクリックします。

スクリーンショット_2013_09_08_7_46

こちらの画面が設定画面です。

通常の設定では、5分位内に3回ログインに失敗すると1時間ログイン制限がかかる仕組みとなっています。

スクリーンショット_2013_09_08_7_42

設定項目名 説明
Max Login Retries 一度にログインを試せる回数を設定します。通常瀬底では、3回迄です。特に設定変更しなくても良いと思います。
Retry Time Period Restriction Max Login Retriesで設定した回数が回復する時間を設定します。デフォルト5分です。特に変更する必要は無いと思います。
Lockout Lengh(minutes) 上記の条件にマッチしログイン制限が掛かった場合の、ロックアウト時間を設定します。デフォルト60分となっています。ここで指定した時間が経過しないと次回ログインが出来なくなります。気になるようでしたら、長期間の設定をすると良いと思います。
Lockout Invalid Username? デフォルトの場合、パスワードを間違った場合のみにログイン制限が掛かります。「YES」にすることで、「ユーザ名」を間違えた場合にもロック制限を適用することができます。ここは、「YES」に変更することをおすすめします。
Mask Login Errors?>/td> 「Yes」にすることで、失敗した際に表示されるメッセージを変更することができます。

この記事が気に入ったら
いいね ! しよう

Twitter でin44y

最新の関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です