Soweeb!

wordpress初心者にとって危険なブルートフォースアタック

      2014/09/04

ブログを独自ドメインで運用する場合に使うCMS(コンテンツマネージメントシステム)と言えばワードプレスという事になるでしょう。

プラグインが多いので自分の欲しい機能が手に入りやすく、情報も多いので困った時などには検索でたどり着きやすくはなります。

世界標準とも言えるブログシステムです。日本でも利用者数が右肩上がりになっています。しかしその反面、利用者が増えれば悪さをしようとする輩も増えます。

その代表が不正なログインを仕掛けようとする輩がいる事です。これはブルートフォースアタックと呼ばれ、ツールを使ってのパスワード総当り攻撃です。

自分のブログは見てる人が少ないから大丈夫だろうと思ったら大間違いです。アクセス数が日に100もあれば狙われる可能性は大きいと言っていいでしょう。

ワードプレスは、あまり分かっていない初心者にとっては不用心なシステムになっているかもしれません。その理由を説明してみましょう。

ブルートフォースアタックへの対処がデフォルトではされていない

ワードプレスには現在インストールしたデフォルトの段階でブルートフォースアタックに対し対処がされていない状況になっています。インストールすれば何かしらのブルートフォースアタック対策をしておかなければ危険であると思います。

この点においてなぜ公式ではブルートフォースアタックに対して対策が取られないのか私は疑問に感じています。現在の状況ではワードプレス初心者がブルートフォースアタックの危険性に気づき、プラグインやその他の方法で対処しなければいけません。

これはワードプレス初心者にとって非常にハードルが高いと言えるでしょう。そこまでの危険性に気づける人がなかなかいないだろうと予測できるからです。

公式に対応して欲しいブルートフォースアタックへの対処

私が公式に対応して欲しいと思うブルートフォースアタックへの対処はログイン画面のアドレスを自由に変更できるシステムにする事です。これをデフォルトで実行するようにユーザーに促せばブルートフォースアタックの危険性は大幅に減る事でしょう。

しかし初心者がログイン画面を忘れるなどの可能性はあります。この辺りの対処が難しいところではあるのかもしれません。ですが、デフォルトでログイン画面の変更機能やアクセス制限機能をつけて欲しいとは望みます。

ブルートフォースアタックが危険な理由は2つある

ブルートフォースアタックが危険な理由は主に2つあります。それはもちろん不正なログインをされてしまうという点が1つあります。なにかしらの悪事に利用されてしまう事でしょう。

もう1つがサーバーへの負担です。プラグインやかなり長いパスワードを使って不正なログインを防いだとしても、パスワードの総当り攻撃でサーバーへの負担が多大に増えている事があります。

中には複数のIPを使いプラグインによるログイン時間規制を無効化しようとする輩もいたりします。ログイン画面が分かる状態だとプラグインで対応してもなかなか難しいものがあります。

ブルートフォースアタックに一番効果的な事は?

ブルートフォースアタックに対して私が一番効果的だと思う方法はログイン画面にアクセスできないようにする事であります。

プラグインで対応してもログイン画面に他者がアクセスできるならば、不正なログインをしようとする状況は続いてしまいます。

ログイン画面が他者にアクセスできなくなれば、ログイン自体を試みる事ができなくなるので、これが一番の安全な方法ではあります。

ブルートフォースアタックに対応しているサーバーもある

ブルートフォースアタックは主に海外からの不正なアクセスが多いので、ログイン画面に対し海外からのアクセスができなくなれば安全性が増します。

これに対して対応しているサーバーがあります。エックスサーバーです。エックスサーバーでは海外からのワードプレスへのログイン画面に対して制限がされるようになっているようです。

ブルートフォースアタックへの対処を考えての措置になっています。デフォルトでブルートフォースアタックへの対処がなされるのでwordpress初心者にとって優しいサーバーであるかもしれません。

.htaccessやプラグインでログイン画面にアクセスを制限する方法もあるが・・・

.htaccessで自分のIP以外にログインできないようにする方法などもありますが、IPが固定されていないといろいろめんどくさいものがあるかもしれません。

複数のワードプレスを管理していると尚更めんどうです。また初心者にとってはハードルが高くなると言えます。

プラグインを探すとログイン画面の場所を変更してくれるものもありました。しかし初心者がこのようなプラグインを見つけるまでは大変かもしれません。

またプラグインの製作者が更新を続けてくれるのか分からないのも不安要素の1つです。プラグイン製作者はボランティアである事が多いので多くを望めません。

やはりデフォルトでのブルートフォースアタック対策の必要性はあるのではないか?と感じています。

 - wordpress