2月 162013
 
この記事の所要時間: 654

どうも、よく分からないなりにWordPressを使っているkuronama です。

WordPressのセキュリティ

先日以下の記事を読んで、WordPress用の2要素認証の存在を知った。
WordPress のセキュリティ: リスクを減らす5ステップ (Sucuri Blog より訳出) | わーどぷれすっ!


記事の大部分が翻訳であり結構ボリュームがあるので該当部分を抜粋すると

ウェブサイトのオーナーが直面するもうひとつのアクセスコントロールに関する危険性は、WordPress のログインページ – /wp-admin もしくは /wp-login.php – に対するブルートフォースアタックです。これには簡単な対処方法が2つあり、そのひとつは WordPress の管理画面のログインに2要素認証を導入することです。もしご存じなければ Google Authenticator プラグインをチェクしてみてください。これはとてもうまく機能しますし、Google Authenticator を導入済みであれば、既存のツールやデバイスの多くでも機能することはご存知かと思います


ということらしい。

ブルートフォース攻撃ってのは、要はパスワードに対して総当たり攻撃を行うこと。ログインIDが判明している状態で、そのIDに対してパスワードを総当たりで自動入力してログインを試みる攻撃手法。
管理者ユーザーとしてWordPressのデフォルト設定である「Admin」をそのまま使っているサイトの場合は既にログインIDが攻撃者にバレているわけで、かなり有効な攻撃手法と思われる。
仮に今回の記事の手法を導入しないとしても、最低限以下の記事を参考にAdmin以外のユーザーを作成・移行して、Adminを削除しておいた方が良いだろう。

WordPressでユーザー名『Admin』をやめてみる。 – HAAYA


ブルートフォース攻撃に対しては特定のクライアントからのログイン失敗回数に上限を持たせることで対応するのが正道だと思うけど、ログインによる認証に本来のパスワードとは別にワンタイムパスワードを使えば良いよってことが書いてある。
確かに長さすら不明なパスワードが2つに増えるだけでも攻撃の手間は増えるし、ましてや片方がワンタイムパスワードであればまず攻撃は成功しないだろう。


少しだけ調べてみたら記事を投稿したユーザ名は簡単に判別できるので、デフォルトの「Admin」以外でもブルートフォース攻撃は有効な攻撃になるっぽい。
なのでWordPressにおいてブルートフォース攻撃に対する唯一?の対抗手段は2要素認証の導入と思われる。

「WordPressに対するブルートフォース攻撃に対抗して2要素認証プラグインを導…」の続きを読む