*

WordPressセキュリティー パート2 「ブルートフォースアタック」が危ない!

公開日: : 最終更新日:2013/11/11 WordPress覚書

先日「WordPressセキュリティーの第一歩」でユーザーIDをデフォルトの「admin」から変更する事を書きましたが、なんとユーザーIDを変更しただけではバレバレになってしまう事が発覚しました。

security-part2

ブルートフォースアタック

ロリポップのWPを狙った総攻撃を「ブルートフォースアタック」と言うそうで、URLに続けて「?author=1」と入力。順番に数字を増やしていくとサイトのIDを簡単に調べることができるらしい。
こんな感じに。WPを使ったURL/?author=1・・・URL/?author=2・・・URL/?author=3 としていくとバレバレになっています。

※参考サイト:Standing on the Shoulder of Linus

新規ユーザーを作成した場合にもID の値が単に1 ずつ増えるだけのようで、それを利用したものらしい。

$_GET を強制的に書き換えることで?author=1 を無効にし、これらの検索を無効にする対策法が上記に書かれていました。

functions.phpに追加します。

function remove_authorid() {
$_GET['author'] = '';
}
add_action('init','remove_authorid');

これによって検索を無効にすることが出来ましたが、上記参考サイトにもあるようにサイト構成によってはこれによって「著者アーカイブが正常に動作しなくなる」不具合が出る場合があるようなので慎重に。との事!
でもこれ、怖いですね。バージョン3.6.1でもデフォルトですとバレバレでした。次期バージョンではこの辺も対策してほしいところです。

これに加えてログインを一定回数以上間違えると、任意の時間ログイン操作が出来なくなるプラグインもあったので、加えてご紹介!

Simple Login Lockdown

プラグインを有効化すると、設定 > 表示設定 の下の方に設定項目が追加されていて、回数とそれ以上ログインに失敗した場合の次のログイン操作までの時間が設定できます。
まぁ、、。これはたんなる時間稼ぎのようなもので、任意設定の時間を過ぎるとまたアタックされますが無いよりましかな!?

WPますます怖わ!

関連記事

避けて通れないWordPressのバージョンアップ。3.6から3.6.1へテストメモ!

つい先日3.6が出たばかりでしたが数日後にバグ修正版の3.6.1配布、そしてまた数日後に3.7のベー...

記事を読む

スパムコメント対策「Akismet」が早速働いた!

先日セットしたばかりの「Akismet」が早速機能。 WordPressに最初から入っているけど、...

記事を読む

XREA、コアサーバーでWordPressのファイルアップロードが出来ない問題

ようやく重い腰を上げてWordPress導入をはじめました。 早速ですが難問にぶつかる...

記事を読む

WordPressデフォルトテーマのカスタマイズの第一作業、「子テーマ」!

WordPressのデフォルトテーマをカスタマイズするなら、直接テーマをいじるのではなく子テーマを作...

記事を読む

ドプレスセキュリティーの第一歩

WordPressセキュリティーの第一歩

先日、ロリポップサーバー内にWordPressで構築しているブログ・サイトが猛打撃を受けたばかりです...

記事を読む

新着記事

古いiOSのiPadで「問題が起きたため、このwebページを再度読み込みました。」となる件

2年ぶりに書いてみる。 すでにAppleより見放されてiOSが9.3.5止まりのiPad初期型...

記事を読む

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプラグインのインストールなどして...

記事を読む

Dreamweaver CC 2017 正式リリース、早速使ってみた!

一昨日、Dreamweaver CC 2017 が正式にリリースされました。 夏前よりBeta版を...

記事を読む

Windows10 フリーズしたように動作が重くなる現象と対策!

先日、Windows 10 Anniversary Updateをしたばかりですが、その後突然フリー...

記事を読む

【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!

Microsoftさんがまたヤッてくれました。 お仕事中にアプリケーションが重たくなってきたの...

記事を読む

古いiOSのiPadで「問題が起きたため、このwebページを再度読み込みました。」となる件

2年ぶりに書いてみる。 すでにAppleより見放されてiOSが9...

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプ...

Dreamweaver CC 2017 正式リリース、早速使ってみた!

一昨日、Dreamweaver CC 2017 が正式にリリースされま...

Windows10 フリーズしたように動作が重くなる現象と対策!

先日、Windows 10 Anniversary Updateをした...

【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!

Microsoftさんがまたヤッてくれました。 お仕事中にアプリ...

→もっと見る

PAGE TOP ↑