WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone

wordpress-logo

実際つかってみたら、面白いくらい大量に釣れた。

WordPress を狙ったブルートフォースアタック

最近、WordPress の admin ユーザーを狙った
ブルートフォースアタック(総当たり攻撃)がよく話題になりますね。

要するに、ID とパスワードの組み合わせを
片っ端から総当たり式に試してみるという攻撃。

特に WordPress 3.0より前は
デフォルトの管理ユーザー名が admin だったので、
admin という名前のユーザーがいると想定して
それに対して大量の総当たり攻撃を仕掛けている輩がいるようです。

Crazy Bone とは

この攻撃が大量に行われているという話なんだけど、
じゃあ実際に自分のサイトにはどれくらい来ていて
どんな不正アクセスの試みが行われているのか。

そのログを取って一覧で見せてくれるのが
今日リリースされた WordPress のプラグイン Crazy Bone です。

実際に使ってみた

Crazy Bone をインストールして有効化すると
WordPress 管理画面の「ユーザー」のところに
「ログイン履歴」という項目が出るようになります。

ログイン履歴

しばらく放置してからここを開いて見ると

不正アクセスのログ

世界中の IP アドレスから大量の不正アクセス(の試み)が来てる。
想像以上の数でした。これは面白いひどい。

心当たりがある場合は対策を

このブログに admin という名前のユーザーは存在しないし
パスワードもちょっとやそっとでは破れない長さなので
どんなに頑張ってくれてもログインはできないんだけど、
ユーザー名が admin になっててシンプルなパスワードを使ってる場合は
こんなに大量にトライされたらいつか突破されちゃうかもしれませんね。

というわけで、まずは Crazy Bone を入れてみたら面白いと思うんだけど
何にしても

  • 管理ユーザー名が admin のままになっている場合は別の名前に変える
  • パスワードを長く複雑なものに変える

という2つの対策はやっておいた方がよさそうですね。

念のため

これ、うっかり言い方を間違えると
WordPress が悪いかのような印象を与えかねないので
念のために書いておきますけれども、
外部から ID とパスワードでログインができるいかなるシステムにも
同じ危険性は存在すると思います。

短くてシンプルなパスワードを使っていたら危険だし
十分長くて複雑なパスワードなら、破られる可能性はそのぶん低い。
これは WordPress だろうが何だろうが
全てのログインシステムに共通することですね。

まあ WordPress はシェアが高いから、
そのぶん標的にされやすいというのはあるかもしれない。

今後のおたのしみ

作者の wokamoto さんによると、
ログインに失敗した場合はどんなパスワードが使われていたかも記録されていて
今後のバージョンでその一覧も見ることができるようにするとのこと。

仕様や使い方については wokamoto さんのブログをご覧ください。

攻撃者が実際にどんなパスワードを試してきているのか
自分のサイトの生々しいデータで見ることができるなんて楽しみだ。

もっといっぱい来ないかな。

  • このエントリーをはてなブックマークに追加