wordpress初心者にとって危険なブルートフォースアタック

2014/09/01 2014/09/04

ブログを独自ドメインで運用する場合に使うCMS（コンテンツマネージメントシステム）と言えばワードプレスという事になるでしょう。

プラグインが多いので自分の欲しい機能が手に入りやすく、情報も多いので困った時などには検索でたどり着きやすくはなります。

世界標準とも言えるブログシステムです。日本でも利用者数が右肩上がりになっています。しかしその反面、利用者が増えれば悪さをしようとする輩も増えます。

その代表が不正なログインを仕掛けようとする輩がいる事です。これはブルートフォースアタックと呼ばれ、ツールを使ってのパスワード総当り攻撃です。

自分のブログは見てる人が少ないから大丈夫だろうと思ったら大間違いです。アクセス数が日に１００もあれば狙われる可能性は大きいと言っていいでしょう。

ワードプレスは、あまり分かっていない初心者にとっては不用心なシステムになっているかもしれません。その理由を説明してみましょう。

ブルートフォースアタックへの対処がデフォルトではされていない

ワードプレスには現在インストールしたデフォルトの段階でブルートフォースアタックに対し対処がされていない状況になっています。インストールすれば何かしらのブルートフォースアタック対策をしておかなければ危険であると思います。

この点においてなぜ公式ではブルートフォースアタックに対して対策が取られないのか私は疑問に感じています。現在の状況ではワードプレス初心者がブルートフォースアタックの危険性に気づき、プラグインやその他の方法で対処しなければいけません。

これはワードプレス初心者にとって非常にハードルが高いと言えるでしょう。そこまでの危険性に気づける人がなかなかいないだろうと予測できるからです。

公式に対応して欲しいブルートフォースアタックへの対処

私が公式に対応して欲しいと思うブルートフォースアタックへの対処はログイン画面のアドレスを自由に変更できるシステムにする事です。これをデフォルトで実行するようにユーザーに促せばブルートフォースアタックの危険性は大幅に減る事でしょう。

しかし初心者がログイン画面を忘れるなどの可能性はあります。この辺りの対処が難しいところではあるのかもしれません。ですが、デフォルトでログイン画面の変更機能やアクセス制限機能をつけて欲しいとは望みます。

ブルートフォースアタックが危険な理由は２つある

ブルートフォースアタックが危険な理由は主に２つあります。それはもちろん不正なログインをされてしまうという点が１つあります。なにかしらの悪事に利用されてしまう事でしょう。

もう１つがサーバーへの負担です。プラグインやかなり長いパスワードを使って不正なログインを防いだとしても、パスワードの総当り攻撃でサーバーへの負担が多大に増えている事があります。

中には複数のIPを使いプラグインによるログイン時間規制を無効化しようとする輩もいたりします。ログイン画面が分かる状態だとプラグインで対応してもなかなか難しいものがあります。

ブルートフォースアタックに一番効果的な事は？

ブルートフォースアタックに対して私が一番効果的だと思う方法はログイン画面にアクセスできないようにする事であります。

プラグインで対応してもログイン画面に他者がアクセスできるならば、不正なログインをしようとする状況は続いてしまいます。

ログイン画面が他者にアクセスできなくなれば、ログイン自体を試みる事ができなくなるので、これが一番の安全な方法ではあります。

ブルートフォースアタックに対応しているサーバーもある

ブルートフォースアタックは主に海外からの不正なアクセスが多いので、ログイン画面に対し海外からのアクセスができなくなれば安全性が増します。

これに対して対応しているサーバーがあります。エックスサーバーです。エックスサーバーでは海外からのワードプレスへのログイン画面に対して制限がされるようになっているようです。

ブルートフォースアタックへの対処を考えての措置になっています。デフォルトでブルートフォースアタックへの対処がなされるのでwordpress初心者にとって優しいサーバーであるかもしれません。

.htaccessやプラグインでログイン画面にアクセスを制限する方法もあるが・・・

.htaccessで自分のIP以外にログインできないようにする方法などもありますが、IPが固定されていないといろいろめんどくさいものがあるかもしれません。

複数のワードプレスを管理していると尚更めんどうです。また初心者にとってはハードルが高くなると言えます。

プラグインを探すとログイン画面の場所を変更してくれるものもありました。しかし初心者がこのようなプラグインを見つけるまでは大変かもしれません。

またプラグインの製作者が更新を続けてくれるのか分からないのも不安要素の１つです。プラグイン製作者はボランティアである事が多いので多くを望めません。

やはりデフォルトでのブルートフォースアタック対策の必要性はあるのではないか？と感じています。

- wordpress

: コアサーバーのセーフモードが解除されwordpressが使いやすくなっている

CORESERVERは高機能、低価格なので費用が安く抑えられるサーバーなのですが …

: ワードプレスでログイン画面の場所が分からなくなった時の対処法

最初は無料ブログでブログを運営していたけれども、本格的に独自ドメインを取ってブロ …

: wordpressで使いたいおすすめのプラグイン９選

WordPressのおすすめプラグイン記事はよくありますが、私もWordpres …

: ワードプレスで人気記事をサムネイル画像付きで表示する方法　jetpackプラグイン（wordpress)

ワードプレスの人気記事を表示するプラグインとして人気なのはWordPress P …

: Akismetの使い方とAkismet API キーの収得

wordpressを利用しているとスパムコメントはよくきます。特に英語でのコメン …

: wordpressの更新をtwitterで簡単に自動投稿する方法

wordpressに投稿した記事の更新情報をtwitterに流してる人も多くいる …

: ソーシャルボタンをWordPressに簡単に設置する方法　WP Social Bookmarking Lightプラグイン

ソーシャルボタンは人気ブログなどを見てみると必ずと言っていいほど設置してあります …

: エックスサーバーにwordpressをインストールしてみた感想と評価

ワードプレスを利用する場合にはwordpressをインストール可能なサーバーが必 …

: WordPress.comに登録してWordPress.com　API キーを収得する方法

WordPress.comはWordPressを使ったブログサービスです。無料で …

: wordpressを5.0.1に更新したら投稿画面が使いにくい場合の対処方法　旧エディターを使う方法

wordpressを5.0.1に更新してみたら、新しい投稿方式になっていて非常に …

PREV: 日本の文具が世界で売れてる！子供や主婦に大人気
NEXT: ダイソーの１００円マスクを使ってみた感想、レビュー