WordPressセキュリティー パート2 「ブルートフォースアタック」が危ない!
公開日:
:
最終更新日:2013/11/11
WordPress覚書セキュリティー
先日「WordPressセキュリティーの第一歩」でユーザーIDをデフォルトの「admin」から変更する事を書きましたが、なんとユーザーIDを変更しただけではバレバレになってしまう事が発覚しました。
ブルートフォースアタック
ロリポップのWPを狙った総攻撃を「ブルートフォースアタック」と言うそうで、URLに続けて「?author=1」と入力。順番に数字を増やしていくとサイトのIDを簡単に調べることができるらしい。
こんな感じに。WPを使ったURL/?author=1・・・URL/?author=2・・・URL/?author=3 としていくとバレバレになっています。
※参考サイト:Standing on the Shoulder of Linus
新規ユーザーを作成した場合にもID の値が単に1 ずつ増えるだけのようで、それを利用したものらしい。
$_GET を強制的に書き換えることで?author=1 を無効にし、これらの検索を無効にする対策法が上記に書かれていました。
functions.phpに追加します。
function remove_authorid() { $_GET['author'] = ''; } add_action('init','remove_authorid');
これによって検索を無効にすることが出来ましたが、上記参考サイトにもあるようにサイト構成によってはこれによって「著者アーカイブが正常に動作しなくなる」不具合が出る場合があるようなので慎重に。との事!
でもこれ、怖いですね。バージョン3.6.1でもデフォルトですとバレバレでした。次期バージョンではこの辺も対策してほしいところです。
これに加えてログインを一定回数以上間違えると、任意の時間ログイン操作が出来なくなるプラグインもあったので、加えてご紹介!
プラグインを有効化すると、設定 > 表示設定 の下の方に設定項目が追加されていて、回数とそれ以上ログインに失敗した場合の次のログイン操作までの時間が設定できます。
まぁ、、。これはたんなる時間稼ぎのようなもので、任意設定の時間を過ぎるとまたアタックされますが無いよりましかな!?
WPますます怖わ!
関連記事
-
WordPressでまず最初にセット!お薦めプラグイン・その他、まとめ。
WordPressをサーバーにインストール、セットした際に最初に準備しておくと良かれと思われるプラグ...
-
XREA、コアサーバーでWordPressのファイルアップロードが出来ない問題
ようやく重い腰を上げてWordPress導入をはじめました。 早速ですが難問にぶつかる...
-
WordPressセキュリティーの第一歩
先日、ロリポップサーバー内にWordPressで構築しているブログ・サイトが猛打撃を受けたばかりです...
-
WordPressセキュリティー番外編!データのバックアップ。
WoedPressでまず押さえておきたいセキュリティー対策をいくつか書きましたが、さて事が起こってし...
-
WordPressの外側の静的ページ(同一ドメイン内)に、記事最新情報を表示させる。
今までの静的ページはそのままに、WordPressでブログやお知らせ、ニュース部分を後付けする場合も...
新着記事
-
古いiOSのiPadで「問題が起きたため、このwebページを再度読み込みました。」となる件
2年ぶりに書いてみる。 すでにAppleより見放されてiOSが9.3.5止まりのiPad初期型...
-
WordPressのエラーを表示させる。白紙状態になったとき。
WordPressのテーマ制作などでfunction.phpの編集やプラグインのインストールなどして...
-
Dreamweaver CC 2017 正式リリース、早速使ってみた!
一昨日、Dreamweaver CC 2017 が正式にリリースされました。 夏前よりBeta版を...
-
Windows10 フリーズしたように動作が重くなる現象と対策!
先日、Windows 10 Anniversary Updateをしたばかりですが、その後突然フリー...
-
【突然くるぞ!】 Windows 10 Anniversary Updateで2時間以上お仕事ストップ!
Microsoftさんがまたヤッてくれました。 お仕事中にアプリケーションが重たくなってきたの...