やっと事態が落ち着いてきた様子のWordPress改ざん騒動。対応に追われていたスタッフの方々、お疲れ様でございますm(_ _)m
今回はソフトウェア設定の不備ということで特定のサーバー会社で大規模に被害が発生していましたが、他のサーバー会社をご利用の方、SaaSesユーザーの方だって他人事ではありませんヨ。特にVPSの場合はインストールから何から全て自分で行うので、今一度サイトのセキュリティについて見直してみてください。
このブログはWordPressのログインパスワード関連の記事が多いので、今回の騒動と直接関係しない内容になってしまいますが、リスクマネジメントは大事ですよねということで再度貼り付け。
実際に試されたパスワード
6-7月のデータなのですが、実験台のWordPressでログインエラーのログを取得していたので、一部公開してみようと思います。「ログイン画面に攻撃を受けるとこうなる」の記事の詳細版、みたいな感じでしょうか。
(画像クリックでPDFファイルが見れます)
これはWordPressのログイン画面に打ち込まれたパスワードの一覧。アメリカからが1番多かったですが、中国や東欧、中東からのアクセスもありました。
リストには760件くらい載っています。データ自体は4,000件近くあるのですがそんなに載せられないので…
S、P、Mで始まるパスワードが多めですね。逆にU~Zは少なかったです。
ハックされやすいパスワードの傾向
細かく見ていくとこんな傾向がありました。- 人の名前
- バンド名や映画のタイトル
- 地名
- 物や動物の名前
- メーカー名
- 最後に「1」や「123」などの数字をつける
- 「I love you」「Just do it」などの簡単な英文
サイト名に似ているパスワードも危ないです。うちのサイトでいうなら「saa」で始まるようなものとか。
それから、試されていたパスワードは多くても12文字でした。私が見たところでは13文字以上は無し。
英字と数字を組み合わせると良い、と言われていますが、「英字→数字」の人はよくいると思うので、「数字→英字」にするというのもアリかも。
「kakashi」などもあるので日本語がゼロというわけではありませんが、それでも大半は英語なので、日本語のほうがバレる可能性は減りそうです。
タイトルには「WordPressで使ってはいけない」なんて書いてしまいましたが、WPに限らずこういう簡単なパスワードは避けたいですね。
——————–
全然話違うんですけどAppleの発表会って今夜ですよね?新OSが気になる気になる…超早寝して26時に起きればいいかなZz(ρω-)o゜。