サポート » その他 » wp-login.php へのアタックが多くなってきているので……

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • モデレーター Tai

    (@tai)

    正直言ってあんまり気にするほどのことではないです、以下を守っていれば 😉

    ・常に最新版を使う
    ・強力なパスワードを使う
    ・定期的なバックアップを確実に取る

    ユーザー名をadmin以外にしてもセキュリティ上の意味は殆ど無いようです。
    http://ja.forums.wordpress.org/topic/13103

    JOTAKI Taisuke さん、ありがとうございます。
    これ、同じ事を他の方から相談した時にも言われてるんですけどね。
    その人達はおそらくもう長く WordPress を使っていて、
    セキュリティ対策もしっかり行なっている人だと思うんです。

    それを知ってて、あえてこれを流したのはなぜか?

    今でも WordPress を新たに使い始めている人がいます。
    今 WordPress をインストールしたばかりの人がいます。
    その人達に流したものです!
    過去にいっぱい流れている情報をまだ見た事がない人が今もいるし、
    今後もいるはずな事を忘れてはいけません。

    WordPress は今、それだけ利用者が増えています。

    やられたという報告をフォーラムで少しでも減らしたくて流しました。
    今見ている貴方が WP を放置していたために、とんでもない損害がでないように。

    モデレーター Tai

    (@tai)

    なるほど。では対策もちゃんと書いてくださ〜い 🙂

    例えば「admin を使わざるおえない場合はより強力なパスワードに変更する。」とありますが、ユーザー名が「admin」であるなしにかかわらずパスワードは強力にすべきです。

    gatespace さんより、意見も出しててほしいとの事でしたので、加えておきます。

    「セキュリティに関しては先に紹介した3つの記事の対策をしていれば
     wp-login.phpにアタックがあろうが問題は無い。
     気になるならwp-login.phpにIPアドレスなどで制限をかけるべき」

    この下記3記事に関する意見です。

    http://wp-d.org/2012/10/18/806/
    http://memo.dogmap.jp/2012/10/18/re-wordpress-security/
    http://8bitodyssey.com/archives/3360

    JOTAKI Taisuke さんの話は……自分の記事でしょうか?
    それって、その下の行で書いてあるのですが……当然の事かと思いますね。

    モデレーター gatespace

    (@gatespace)

    私は JOTAKI Taisukeさんと同じ意見です。
    (以前同様のことをWordBenchでも話したはずです)

    以前、このフォーラムでJOTAKI Taisukeさん始め何人かで
    「ユーザー名をadmin以外にしてもセキュリティ上の意味は無いのでしょうか」をいう議論がされています。

    あくまで、ユーザー名とパスワードの組み合わせに関する議論ですが、WordPressの実装部分も含め「パスワード強化と「一定回数のログインに失敗したらロックする」実装を検討」という風に結論づけられてます。

    他のブログの記事も紹介させていただきましたが、各記事を要約しすると
    まずは本体プラグインとも最新版を使うべきです。
    特に本体は脆弱性などセキュリティーに関するアップデートが含まれていますので、必ず行うべきです。
    ※アップデート自体はダッシュボードで通知されますし、情報としては http://ja.wordpress.org/ のトップやダッシュボードのウィジェットにフィードで配信されています。ウィジェットについてはデフォルトで表示されている物ですから「知らなかった」ということはないと思います。

    (バックアップについては割愛)

    初心者や最近始めた人の事を懸念されていますが、
    それならなおさら要点(具体的な対策方法)を簡潔に伝えるべきでは?

    (私はあくまでKeiichi SHIGAさんへのコメントとして意見や記事を提示しましたが、それをKeiichi SHIGAさんの意見として特に初心者に分かりやすくここに投稿するなら、あなたの言葉で書き直し、参照・補足として他人の意見をを出すべきでしょう)

    admin の安全性については tai さん、gatespace さんにおまかせしますが

    フォーラム関係者と予め連絡・返信を得た上で投稿を行いました

    などと正統性を装う行為は厳に謹んでください。このトピックの投稿に対して、フォーラム関係者がフォーラム関係者の立場で以って何らの許諾をした事実はありません。

    モデレーター Takuro Hishikawa

    (@hissy)

    情報ありがとうございます。あのマルウェア対策のSucuriが関連しそうなブログ記事をアップしていました。

    Brute force attacks against WordPress sites
    http://blog.sucuri.net/2012/03/brute-force-attacks-against-wordpress-sites.html

    この記事では最近増えたというニュアンスではないですね。ぼくも以前からこの手のアタックは存在した気がしますが、最近また増えてきたのでしょうか?だとしたら由々しき事態ですね。

    この手のアタックの特徴はユーザー名「admin」と「admin123」「p@ssw0rd」などの、統計的に世間で「ありがち」なパスワードを組み合わせてアクセスを試みます。いわゆる辞書攻撃というやつです。WordPressはユーザーが多いので、このような初歩的なミスを犯すユーザーでも世界中にたくさんいることと思います。ブルートフォースアタックとしてブロックされないように、わざと2秒間隔を開けるという芸の細かさです。でも2秒程度でごまかせるということはネットワーク管理者もナメられているということですかね。

    対策としては、記事中では、
    ・デフォルトの admin ユーザーを取り除く
    ・可能であればパスワードジェネレーターを使う
    ・サイトの寄稿者に管理画面へのアクセスを許している場合は、パスワードジェネレーターの使用を強制させる
    ・全てのユーザーの権限を確認し、管理者権限を持つ必要が無いユーザーからは権限を外す
    と紹介されています。

    この手法に限って言えば、admin 限定で来ていますので、無効化することは意味があります。ただし、だからといって管理者権限をもった「sub-admin」アカウントを作って、そのパスワードが「password」だったら何の意味もありません。

    個人的には、パスワードジェネレーターを使うことをまず第一の対策としてほしいなと思います。ユーザー名がバレない前提でセキュリティを考えるのは非常に危険ですし、アプリケーション側の設計としてはユーザー名がバレている前提で作られています。また、adminを削除することは利便性の面でもどうかな…と思います。

    逆に、利便性の面で長いパスワードは無理!覚えられない!という抵抗が強いのでしょうが、そういう場合はLastPassなどを使えばいいし、そもそもadminを普段から使うのはやめて、例え管理者自身であっても、記事の更新をする際は権限を制限したadmin以外のユーザーを使うべきだと思います。

    というわけで、パスワードさえ気にしていれば心配することはない、という Tai さんの意見に同意ですが、サイトの性格によってさらに対策が可能であれば検討してもいいでしょう。セキュリティ対策については、あくまで自己責任かつケース・バイ・ケースでありますので、こうすべきだということを強制はできませんが、ぜひCodexも参考にしていただきたいと思います。

    Codex : FAQ/ハッキング・クラッキング被害

    セキュリティ関係のフォーラムの書き込みには優先的に回答していますが、総じて返信が無いんですよね…。はたしてちゃんと対策してくれているのか…。

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • トピック「wp-login.php へのアタックが多くなってきているので……」には新たに返信することはできません。