おい、そこのWordPress管理者、大丈夫か?不正ログインがないか確認を

WordPressの開発者であるMatt Mullenweg氏が自身のブログにて、WordPressを使用しているサーバーに対して大規模な不正ログイン攻撃が行われていることを発表しています。

WordPressは世界で最も利用されているＣＭＳで、世の中の多くのブログやＷＥＢサイトが利用しています。このサイトもそうですし、あなたが普段利用しているサイトでもWordPressを利用したサイトは多くあるはずです。なんてったって、世界のＣＭＳの半分以上のシェアを持ってますから。

同ブログによると、ユーザー名が「admin」のアカウントのパスワードに対して、Brute Force Attackと呼ばれる総当り攻撃がされていて、9万以上のIPアドレスから１秒ごとの連続したログイン攻撃がされており、このIPはボットネットであるとのこと。

つまり、あなたのWordPressが稼動したサーバーが攻撃され、不正ログインが成功されれば、あなたのサーバーが乗っ取られて、今度は攻撃者となって他のサーバーを襲うことになってしまう。

また、Sucuriの記事のデータによると、攻撃を受けているユーザー名は「admin」だけでなく他に、test、administrator、Admin、rootといった、汎用的に付けがちなユーザー名が攻撃対象になっているようです。

ユーザー名	回数
admin	652,911
test	10,173
administrator	8,992
Admin	8,921
root	2,495

また、試行されているパスワードの上位は以下のよう。

パスワード	回数
admin	16,798
123456	10,880
666666	9,727
111111	9,106
12345678	7,882

対策はパスワードを複雑化し、WordPressの設定を二段階認証をかけることです。adminやtestといった汎用ドメインを利用している人は、特に。

自分のサーバーに攻撃があるかはアクセスログを見れば分かると思いますが、アクセスがなくても汎用的なユーザー名は今後、不正ログインに繋がる可能性があるので、必要がなければそのようなユーザー名は変更しておきましょう。

WordPressのユーザー名とパスワードの変更の仕方は、こちらあたりの記事を参照してみるといいでしょう。

【WPユーザー必見】今すぐユーザー名を変更してパスワードを強化せよ!! | [M] mbdb

今回は、adminやroot、administratorといった汎用アカウントを狙った総当たり攻撃でしたが、これだけＳＮＳやＷＥＢサービスが乱立していて一人の人が多くのアカウントを管理する時代なのだから、ログインに対する不正アクセスに対する知識を、この際、吸収しておきましょう。

eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策 | 徳丸浩の日記

こちらは、ＷＥＢに関するセキュリティの名著「体系的に学ぶ 安全なWebアプリケーションの作り方」の著書である、徳丸浩氏のブログに最近エントリーされた「パスワードリスト攻撃による不正アクセスに対する対策」に関する記事です。

今回のWordPressのように汎用アカウントを狙った攻撃ではなく、あるユーザーが使用するアカウント名とパスワードのペアは、他のＷＥＢサービスでも同じ同じアカウントとパスワードのペアを使うであろうという推測の元、流出してしまったペアを利用して他のサイトに不正ログインを試みるという、「パスワードリスト攻撃」という手法について書かれています。

これからの時代、こちらの不正アクセスの方が脅威になるでしょう。

▼ＷＥＢデベロッパーは以下がおすすめ、僕も買ってます！