ベストセラー人気 WordPress テーマTop 30 詳細

WordPressを対象に、大規模なブルートフォース攻撃(Brute Force Attack)発生

Last Updated:2020年11月14日| 7のコメント
  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

セキュリティ企業Wordfenceによると、昨日の12月18日3時(UTC時刻基準)に WordPress サイトを対象に、大規模な分散ブルートフォース攻撃(ブルートフォース攻撃、Brute Force Attack)が発生したとしますね。

今回の攻撃は、攻撃に動員されたIPも多く、各IPが莫大な数の攻撃を発生するなど、その規模の面でWordfenceが WordPress セキュリティサービスを開始した2012年以来、最大規模の攻撃と呼ばれます。 (攻撃がピークのとき時間攻撃することができ、1,400万件を超えたとしますね。)

もっと詳しく Breaking:Aggressive WordPress Brute Force Attack Campaign Started Today、3am UTCを参考にしてみてください。

WordPressを対象に、大規模なブルートフォース攻撃(Brute Force Attack)発生2

リンクされた記事によると、文の作成時に明らかになった点は...

  • 当時まで攻撃の頂点に達する時時間当たり1410万件に名前
  • 関連IPの合計数は、10000個ノムウム
  • 時間攻撃対象にされた WordPress サイトが最大19万個の名前
  • Wordfenceが WordPress セキュリティ事業を開始して以来時間攻撃量としては最大規模

攻撃への備え

事実、このブログで WordPress 関連のセキュリティに関連して作成された措置をとった場合、別の心配をしていなくても良いと思われる。 次のような措置を取って WordPress サイトのセキュリティを強化することをお勧め。

  1. ブルートフォース攻撃をインテリジェントに遮断するWordfenceなどのファイアウォールのインストール( "WordPress ベストセキュリティプラグイン"参照)
  2. すべてのユーザーアカウントは、特に管理者アカウントに対して強力なパスワードの使用。 (Wordfence Premiumはpassword auditing(パスワード監査)機能を提供するとしますね。)
  3. 管理者ユーザー名に「admin」を使用していると推測してい容易ではない名前に変更
  4. 使用していないアカウントを削除する。 特に使用していない管理者アカウントを削除してください。 その後、「攻撃面(attack surface)」を減らすことができます。
  5. すべての管理者アカウントに対して2段階認証を有効に。
  6. IPアドレスをブロックするIPブラックリストを有効に。 (個人的にiThemes Securityプラグインをインストールして使用しているが、Network Brute Force Protectionと呼ばれる機能を使用して禁止されたIPアドレスをブロックする機能があります。Wordfenceの場合プレミアムバージョンでリアルタイムIPブラックリストを提供するとしますね。)
  7. 管理者がログインすると、通知するように設定してログイン攻撃監視します。 Wordfence無料版では、この機能を提供しています。
  8. 同じパスワードを複数のサービスに使用することは禁物。

参考までに WordPress セキュリティのために、次のXNUMXつの基本的な原則に従っ WordPress サイトを安全に運営することができます。

  1. WordPress、テーマ、プラグインを常に最新のバージョンに更新
  2. WordPress セキュリティプラグインのインストール
  3. 定期的なバックアップ

転ばぬ先の杖(有備無患)という言葉があるように、残念より事前に準備するのが最善です。

ちなみにこのブログの場合、会員登録を受けないため WordPressに特定のIPのみログインが可能になるよう設定していました。 そして仮想サーバーホスティング(VPS)を利用する場合、通常は、SSH接続をしないようにブロックすることをセキュリティ上のよさそうです。 (このブログでは、 Bluehost VPSを使用中なのに、普段はSSH Password Authentication機能を実行しなくています(参照))

メモ:



7のコメント

コメント

  1. こんにちは、オペレータ様、 WordPress サイトを運営中のセキュリティ関連して質問が生じそう質問を残します。
    Brute Force攻撃に備えるため、上記の事項を実施し、i themes securityプラグインを介して攻撃を防いでいます。
    ところで、log記録を見るとミョトナル数日が過ぎてもburte force攻撃が止まらずに続行行われていることを確認しています。
    もしかしたら、このような部分について可能なアドバイスや対策があるでしょう? 文が長かった。 ありがとうございます〜!

    回答する
    • こんにちは?

      この問題について、海外のブログ記事を探してみる次のような措置をアドバイスしていますね。
      - ファイアウォールプラグインのインストール
      - WordPress、テーマ、プラグインを最新バージョンにアップデート
      - 2段階認証を追加する
      - 強力なパスワードを使用
      - Directory Browsing無効( https://iwordpower.com/disable-directory-browsing/ 参考)
      - 特定の WordPress フォルダにPHPファイルを実行を無効に
      - > / wp-content / uploads /フォルダに.htaccessファイルを作成し、次のコードを追加します。

      https://www.screencast.com/t/ZqJ0bil7IJt

      - サイトのバックアップ

      それでも問題が解決しない場合は、Webホスティング会社に一度お問い合わせしてください。

      (特に WordPress、テーマ、プラグインを最新バージョンにアップデートすることがよく、長い間更新しないされたプラグインは、使用していないことが望ましい。)

      回答する
      • こんにちは、詳細な回答ありがとうございます。 これまであげてくださった多くの資料のおかげで、上記の
        - ファイアウォールプラグインのインストール
        - WordPress、テーマ、プラグインを最新バージョンにアップデート
        - 2段階認証を追加する
        - 強力なパスワードを使用
        - Directory Browsing無効( https://iwordpower.com/disable-directory-browsing/ 参考)

        まで進行をしたんです、.htaccessファイルを、Macのテキストエディタで作成した後、アップロードしたら、Webサイトからの各種画像の読み込みに問題が生じますね。 私htaccessファイルに正当なファイルを魚したのか疑問がするがもしかしたら、これについてのコメントをしてくださることがありましたか?

        ありがとうございます!

      • Apacheサーバーで.htaccessファイルを作成することができます。
        一意のアドレスの設定は、デフォルトで設定された場合、.htaccessファイルが生成されないことです。

        Apache Webサーバであり、固有のアドレスの設定が「基本」ではない状況で.htaccessファイルが見つからない場合は、ftpクライアント(例えば、ファイルBugzillaの)で非表示にファイルを表示するように設定してみてください。

        https://avada.co.kr/wordpress/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-htaccess-%ED%8C%8C%EC%9D%BC%EC%9D%B4-%ED%91%9C%EC%8B%9C%EB%90%98%EC%A7%80-%EC%95%8A%EB%8A%94-%EA%B2%BD%EC%9A%B0/

        Nginxサーバである場合、次の文を参照してみてください:
        https://websiteforstudents.com/block-access-wordpress-wp-admin-via-nginx-ubuntu-17-04-17-10/

    • 次の記事も参考にしてみてください:

      https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%EA%B0%95%ED%99%94%ED%95%98%EA%B8%B0/

      ログインするユーザーが何人いない場合、特定のIPのみログインが可能になるような措置をとることを検討してください。

      回答する
  2. ハル...牛めしこんなことが...ㅜㅜ
    私も WordPress ログインするところは、オフィスや家の外になくて、特定のipログインしておくべきようですね。
    残念ことがないようにしなっつもり.. !!

    回答する
    • セキュリティプラグインを1つ取り付けておい最新バージョンにアップデートすると、別の問題は、ないでしょう。
      どうしてもログインが可能なIPを制限すると、セキュリティに大いに役立つと思われる。

      回答する