やっと事態が落ち着いてきた様子のWordPress改ざん騒動。対応に追われていたスタッフの方々、お疲れ様でございますm(_ _)m
今回はソフトウェア設定の不備ということで特定のサーバー会社で大規模に被害が発生していましたが、他のサーバー会社をご利用の方、SaaSesユーザーの方だって他人事ではありませんヨ。特にVPSの場合はインストールから何から全て自分で行うので、今一度サイトのセキュリティについて見直してみてください。

このブログはWordPressのログインパスワード関連の記事が多いので、今回の騒動と直接関係しない内容になってしまいますが、リスクマネジメントは大事ですよねということで再度貼り付け。

1. WordPressのadminユーザーを削除する
2. WordPressのログイン履歴を表示するプラグイン「Crazy Bone」
3. WordPressのログイン画面に攻撃を受けるとこうなる

実際に試されたパスワード

6-7月のデータなのですが、実験台のWordPressでログインエラーのログを取得していたので、一部公開してみようと思います。
「ログイン画面に攻撃を受けるとこうなる」の記事の詳細版、みたいな感じでしょうか。


(画像クリックでPDFファイルが見れます)

これはWordPressのログイン画面に打ち込まれたパスワードの一覧。アメリカからが1番多かったですが、中国や東欧、中東からのアクセスもありました。
リストには760件くらい載っています。データ自体は4,000件近くあるのですがそんなに載せられないので…
S、P、Mで始まるパスワードが多めですね。逆にU～Zは少なかったです。

ハックされやすいパスワードの傾向

細かく見ていくとこんな傾向がありました。

• 人の名前
• バンド名や映画のタイトル
• 地名
• 物や動物の名前
• メーカー名
• 最後に「1」や「123」などの数字をつける
• 「I love you」「Just do it」などの簡単な英文

基本的に辞書に載っているような既存の単語はアウトなので、造語が1番です。
サイト名に似ているパスワードも危ないです。うちのサイトでいうなら「saa」で始まるようなものとか。
それから、試されていたパスワードは多くても12文字でした。私が見たところでは13文字以上は無し。
英字と数字を組み合わせると良い、と言われていますが、「英字→数字」の人はよくいると思うので、「数字→英字」にするというのもアリかも。
「kakashi」などもあるので日本語がゼロというわけではありませんが、それでも大半は英語なので、日本語のほうがバレる可能性は減りそうです。

タイトルには「WordPressで使ってはいけない」なんて書いてしまいましたが、WPに限らずこういう簡単なパスワードは避けたいですね。

——————–

全然話違うんですけどAppleの発表会って今夜ですよね？新OSが気になる気になる…超早寝して26時に起きればいいかなZz(ρω-)o゜。