*

WordPressセキュリティー パート2 「ブルートフォースアタック」が危ない!

公開日: : 最終更新日:2013/11/11 WordPress覚書

先日「WordPressセキュリティーの第一歩」でユーザーIDをデフォルトの「admin」から変更する事を書きましたが、なんとユーザーIDを変更しただけではバレバレになってしまう事が発覚しました。

security-part2

ブルートフォースアタック

ロリポップのWPを狙った総攻撃を「ブルートフォースアタック」と言うそうで、URLに続けて「?author=1」と入力。順番に数字を増やしていくとサイトのIDを簡単に調べることができるらしい。
こんな感じに。WPを使ったURL/?author=1・・・URL/?author=2・・・URL/?author=3 としていくとバレバレになっています。

※参考サイト:Standing on the Shoulder of Linus

新規ユーザーを作成した場合にもID の値が単に1 ずつ増えるだけのようで、それを利用したものらしい。

$_GET を強制的に書き換えることで?author=1 を無効にし、これらの検索を無効にする対策法が上記に書かれていました。

functions.phpに追加します。

function remove_authorid() {
$_GET['author'] = '';
}
add_action('init','remove_authorid');

これによって検索を無効にすることが出来ましたが、上記参考サイトにもあるようにサイト構成によってはこれによって「著者アーカイブが正常に動作しなくなる」不具合が出る場合があるようなので慎重に。との事!
でもこれ、怖いですね。バージョン3.6.1でもデフォルトですとバレバレでした。次期バージョンではこの辺も対策してほしいところです。

これに加えてログインを一定回数以上間違えると、任意の時間ログイン操作が出来なくなるプラグインもあったので、加えてご紹介!

Simple Login Lockdown

プラグインを有効化すると、設定 > 表示設定 の下の方に設定項目が追加されていて、回数とそれ以上ログインに失敗した場合の次のログイン操作までの時間が設定できます。
まぁ、、。これはたんなる時間稼ぎのようなもので、任意設定の時間を過ぎるとまたアタックされますが無いよりましかな!?

WPますます怖わ!

関連記事

ワードプレスログインロゴ

WordPressログイン画面のロゴ&リンク先を変更してみる。

くだらないと言えばくだらない、でもちょっとだけお客様のモチベーションが上がるかもしれないサービス。 ...

記事を読む

WordPressテーマのローカル開発環境を作る !xampp + Dreamweaver + WordPress

xamppはローカルでphpやcgiなどをテスト・開発できる素敵なフリーソフト。 もう何年も前から...

記事を読む

WordPressの外側の静的ページ(同一ドメイン内)に、記事最新情報を表示させる。

今までの静的ページはそのままに、WordPressでブログやお知らせ、ニュース部分を後付けする場合も...

記事を読む

WordPressセキュリティー番外編!データのバックアップ。

WoedPressでまず押さえておきたいセキュリティー対策をいくつか書きましたが、さて事が起こってし...

記事を読む

WordPressのサーバー&データベース領域節約術。セットしたら最初にしておくべき事!

WordPressのなんでも節約術 節約、大事です。お金も電気もサーバー容量もデータベース...

記事を読む

新着記事

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプラグインのインストールなどして...

記事を読む

Dreamweaver CC 2017 正式リリース、早速使ってみた!

一昨日、Dreamweaver CC 2017 が正式にリリースされました。 夏前よりBeta版を...

記事を読む

Windows10 フリーズしたように動作が重くなる現象と対策!

先日、Windows 10 Anniversary Updateをしたばかりですが、その後突然フリー...

記事を読む

【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!

Microsoftさんがまたヤッてくれました。 お仕事中にアプリケーションが重たくなってきたの...

記事を読む

NAS導入!スモールオフィスっぽく。

よくここまでいい加減なバックアップのみでやってきたものです。 制作用PCは既に6歳 そういえばこ...

記事を読む

WordPressのエラーを表示させる。白紙状態になったとき。

WordPressのテーマ制作などでfunction.phpの編集やプ...

Dreamweaver CC 2017 正式リリース、早速使ってみた!

一昨日、Dreamweaver CC 2017 が正式にリリースされま...

Windows10 フリーズしたように動作が重くなる現象と対策!

先日、Windows 10 Anniversary Updateをした...

【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!

Microsoftさんがまたヤッてくれました。 お仕事中にアプリ...

NAS導入!スモールオフィスっぽく。

よくここまでいい加減なバックアップのみでやってきたものです。 制作用...

→もっと見る

PAGE TOP ↑