WordPressセキュリティー パート2 「ブルートフォースアタック」が危ない!
公開日:
:
最終更新日:2013/11/11
WordPress覚書セキュリティー
先日「WordPressセキュリティーの第一歩」でユーザーIDをデフォルトの「admin」から変更する事を書きましたが、なんとユーザーIDを変更しただけではバレバレになってしまう事が発覚しました。
ブルートフォースアタック
ロリポップのWPを狙った総攻撃を「ブルートフォースアタック」と言うそうで、URLに続けて「?author=1」と入力。順番に数字を増やしていくとサイトのIDを簡単に調べることができるらしい。
こんな感じに。WPを使ったURL/?author=1・・・URL/?author=2・・・URL/?author=3 としていくとバレバレになっています。
※参考サイト:Standing on the Shoulder of Linus
新規ユーザーを作成した場合にもID の値が単に1 ずつ増えるだけのようで、それを利用したものらしい。
$_GET を強制的に書き換えることで?author=1 を無効にし、これらの検索を無効にする対策法が上記に書かれていました。
functions.phpに追加します。
function remove_authorid() { $_GET['author'] = ''; } add_action('init','remove_authorid');
これによって検索を無効にすることが出来ましたが、上記参考サイトにもあるようにサイト構成によってはこれによって「著者アーカイブが正常に動作しなくなる」不具合が出る場合があるようなので慎重に。との事!
でもこれ、怖いですね。バージョン3.6.1でもデフォルトですとバレバレでした。次期バージョンではこの辺も対策してほしいところです。
これに加えてログインを一定回数以上間違えると、任意の時間ログイン操作が出来なくなるプラグインもあったので、加えてご紹介!
プラグインを有効化すると、設定 > 表示設定 の下の方に設定項目が追加されていて、回数とそれ以上ログインに失敗した場合の次のログイン操作までの時間が設定できます。
まぁ、、。これはたんなる時間稼ぎのようなもので、任意設定の時間を過ぎるとまたアタックされますが無いよりましかな!?
WPますます怖わ!
関連記事
-
WordPressログイン画面のロゴ&リンク先を変更してみる。
くだらないと言えばくだらない、でもちょっとだけお客様のモチベーションが上がるかもしれないサービス。 ...
-
WordPressテーマのローカル開発環境を作る !xampp + Dreamweaver + WordPress
xamppはローカルでphpやcgiなどをテスト・開発できる素敵なフリーソフト。 もう何年も前から...
-
WordPress 記事コメント欄下の「次のHTMLタグが使えます・・・」を消す
WordPress 記事コメント欄下の「次のHTMLタグが使えます・・・」 既存テーマではすで...
-
XREA、コアサーバーでWordPressのファイルアップロードが出来ない問題
ようやく重い腰を上げてWordPress導入をはじめました。 早速ですが難問にぶつかる...
-
スパムコメント対策「Akismet」が早速働いた!
先日セットしたばかりの「Akismet」が早速機能。 WordPressに最初から入っているけど、...
新着記事
-
古いiOSのiPadで「問題が起きたため、このwebページを再度読み込みました。」となる件
2年ぶりに書いてみる。 すでにAppleより見放されてiOSが9.3.5止まりのiPad初期型...
-
WordPressのエラーを表示させる。白紙状態になったとき。
WordPressのテーマ制作などでfunction.phpの編集やプラグインのインストールなどして...
-
Dreamweaver CC 2017 正式リリース、早速使ってみた!
一昨日、Dreamweaver CC 2017 が正式にリリースされました。 夏前よりBeta版を...
-
Windows10 フリーズしたように動作が重くなる現象と対策!
先日、Windows 10 Anniversary Updateをしたばかりですが、その後突然フリー...
-
【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!
Microsoftさんがまたヤッてくれました。 お仕事中にアプリケーションが重たくなってきたの...