WordPress への大規模攻撃に関しての雑感【追記あり】


少し前に知ったのだけど、『WordPressを狙った大規模な攻撃 – セキュリティは楽しいかね? Part 2』という話。要するに、「よくあるアカウント名を狙った縦断爆撃」という感じなのだろうか。

意外だったというか驚いたのは、WordPress の管理者アカウント名に “admin” をそのまま使っている人が多数いるという話。こういうのって、導入したら最初に考えるべき部分だと思うのだけど、世間的には気にしない人の方が多いのかな。

でまぁ冒頭のリンク先には興味深いデータも記載されているのだけど、狙われるアカウント名トップ5は以下とのこと。

  1. admin
  2. test
  3. administrator
  4. Admin
  5. root

これって WordPress に限った話ではなくて、自宅で使っているルータにログインする情報に関しても同じなのだよなぁ。ネットワーク機器なんかのログイン情報まで気にしてる人なんて、今回のことを考えるとさらに少ないのだろうな。ともかくは WordPress におけるアカウント名とパスワードの話か。

私が WordPress を初めて導入して気になったのは、まさに管理者用アカウントの部分で、しかも対策(というか設定)しておかないとログイン用アカウント名がそのままエントリに掲載されてしまうというトコロだった。このエントリのタイトル部分に ” Posted on 2013/04/14 by dullahan” という文字列があるかと思うけど、設定を怠っていると “dullahan” の部分は WordPress ログイン用のアカウントと同じになってしまったんじゃなかったか。

だから WordPress を利用するにあたり、まずしないといけないことは「管理者としての自分専用のログイン用アカウントを作成する」ことで、これはいつも表向きに表示してる名称とは違うものにするということ。そしてそのアカウントを作成したら「ユーザ一覧から admin を削除すること」で、さらにブログエントリにログイン用アカウント名が表示されないように、ユーザ設定を変更するということが基本なのではないのかな。

個人利用を主として書いているけど、まずユーザの画面はこれ。

ユーザ管理の画面

自分用のアカウント名だけを残して、”admin” などというアカウントは当然消す。あっても使わないし。そして、そのプロフィール画面では以下のようにしている。

ニックネームを設定してブログにはそれを表示させる

『ユーザー名』という部分が WordPress にログインするためのアカウント名なのだけど、それを隠蔽するためには『ニックネーム』と『ブログ上の表示名』を設定しておくこと。

これだけでも最低限やっておけば、今回の場合における攻撃には対応できるできるでしょう。無論テストを行いたいという理由でアカウントを作ることもあるのだろうけど、その場合は安直なアカウント名で作成するのをやめれば良いだけ。

パスワードは複雑にしておくというのもそうなのだけど、管理画面へログインするためのアカウント名がバレなければ、それだけでもかなりセキュアになるとは思う。これはプラグインを使わなくてもできる対処なので、WordPress を使うのであれば対応しておいてほしいなとか思ったり。

無用なアカウントは削除して、ちゃんとパスワード管理する。そして、管理画面用ログイン名がブログに表示されないように設定しておく。何はなくともまずはそこからだ。

2013/04/15 09:50 追記

何か大事なことが1つ抜けている……ともやもやしていたのだけど、管理画面ログイン用アカウントがバレないようにするために Edit Author Slug というプラグインも使用したほうが良いことを思い出した。

先に書いた対応で見かけ上、管理画面ログイン用アカウントは見えなくなるのだけど、著者リンクのアドレスでバレてしまったりするのであった。それらも変更するには Edit Author Slug で書き換えることが必要になります。プラグインをインストールしたらユーザのプロフィール画面下段に設定項目が表示されるようになるので、そこで以下のような感じに。

Edit Author Slug での設定

これで管理画面ログイン用アカウントの隠蔽は完璧かな。