ちょっと危なっかしいタイトル(?)。

以前、ブルートフォースアタックとその対策についてのお話をしました。
Basic認証を設定して二重認証にしてしまえば、WordPressのログイン画面にすらたどり着けないのでより安心、という結論でしたが、今日は「Basic認証をかけていないサイトでアタックされるとどうなるか」レポート。

過去記事:
WordPressのadminユーザーを削除する
WordPressのログイン履歴を表示するプラグイン「Crazy Bone」

Crazy Boneのログイン履歴

Basic認証を外したサイトにCrazy Boneプラグインを入れて様子を見た結果、週末に中国から大量に攻撃を受けました。そのログ画面がこちら↓(クリックで拡大します)

20:00～20:05の5分間に100件超。全て同じIPからです。
このプラグインは、相手がどんなユーザー名やパスワードでログインを試みているかまで見ることができるのですが、今回の場合はユーザー名は全て「admin」でした。
パスワードはというと…「123456」などの数字から「michael」といった人名、「orange」「shadow」など辞書にありそうな名詞。「rockyou」とか「welcome」など簡単な文もありました。
パスワードは自分で造った文字列のほうが安全だということがよくわかります。
数字やA、Bなどアルファベット順に試みているようでもあるので、パスワードの1文字目に数字やAを使うのは避けたほうがいいかも。「○回ログインに失敗したらロックする」というような機能を使っていれば、パスワードの1文字目をアルファベット順でいう後半にするだけでも、突破される確率が下がるかもしれません。Zから順に試す攻撃者もいるのかもしれないけど。

ユーザーIDはadmin以外に設定していたので、結局攻撃者はログインできずじまいだったので良かったですが、「自分のとこは大丈夫だろう」という軽い気持ちではいられないということですね。

ちなみにBasic認証をかけている間はこういったアクセスは皆無だったので、やっぱり有効ですよBasic！
過去記事: WordPressのログイン画面にBasic認証をかける

ということで、セキュリティ対策はしっかりしましょうというお話でした(｀д´)ゝ