WordPressへの攻撃と、その防御

最近、WordPressへのブルートフォース攻撃が流行しているらしい。ま、WordPressが動いていれば、管理画面のURLはわかるわけだし、ブルートフォース攻撃はやりやすいだろうなぁ。しかも、デフォルトで「admin」アカウントが作成されるわけで、何にも考えていなければ「admin」ユーザーに対してパスワードを辞書式に当たればというわけで、クラッカーのみなさまに目を付けられやすいような気は確かにする。

ま、そのまま、攻撃を受け続けるというのも気持ちが悪いので、試しに「Login LockDown」というプラグインを入れてみることにした。このプラグインは、ログイン失敗の履歴を保存しておいて、一定期間における試行回数を超えたら、ブルートフォース攻撃(要するに、同じIPアドレスから何回もログイン試行する)と見なして、ログインを受け付けなくするらしい。

意外と…攻撃来てた

とりあえず、プラグインを入れてほったらかしにしていたら、ログインに失敗したアクセスを記録するテーブルにわらわらとレコードが出来ていた。たいしたPVがないブログに入れてみたけれど、2週間くらいの期間の間に、ログインに失敗した記録が500レコードほど出来ていた。思ったより多いなぁ…。うーむ。

もちろん、絶対にヤラれない自信がある人はともかくとしても、世の中の注目度とは裏腹に普通にWordPressのブルートフォース対策のためのプラグインとか入れておいた方がいいのかもしれない。もちろん、ブルートフォースを受けている間は、無駄にサーバのリソースが使われるわけで、それを防ぐということも多少意味があるかもしれないし。