WordPressセキュリティー パート2 「ブルートフォースアタック」が危ない！

先日「WordPressセキュリティーの第一歩」でユーザーIDをデフォルトの「admin」から変更する事を書きましたが、なんとユーザーIDを変更しただけではバレバレになってしまう事が発覚しました。

ブルートフォースアタック

ロリポップのWPを狙った総攻撃を「ブルートフォースアタック」と言うそうで、URLに続けて「?author=1」と入力。順番に数字を増やしていくとサイトのIDを簡単に調べることができるらしい。
こんな感じに。WPを使ったURL/?author=1・・・URL/?author=2・・・URL/?author=3　としていくとバレバレになっています。

※参考サイト：Standing on the Shoulder of Linus

新規ユーザーを作成した場合にもID の値が単に1 ずつ増えるだけのようで、それを利用したものらしい。

$_GET を強制的に書き換えることで?author=1 を無効にし、これらの検索を無効にする対策法が上記に書かれていました。

functions.phpに追加します。

function remove_authorid() {
$_GET['author'] = '';
}
add_action('init','remove_authorid');

これによって検索を無効にすることが出来ましたが、上記参考サイトにもあるようにサイト構成によってはこれによって「著者アーカイブが正常に動作しなくなる」不具合が出る場合があるようなので慎重に。との事！
でもこれ、怖いですね。バージョン3.6.1でもデフォルトですとバレバレでした。次期バージョンではこの辺も対策してほしいところです。

これに加えてログインを一定回数以上間違えると、任意の時間ログイン操作が出来なくなるプラグインもあったので、加えてご紹介！

Simple Login Lockdown

プラグインを有効化すると、設定 > 表示設定 の下の方に設定項目が追加されていて、回数とそれ以上ログインに失敗した場合の次のログイン操作までの時間が設定できます。
まぁ、、。これはたんなる時間稼ぎのようなもので、任意設定の時間を過ぎるとまたアタックされますが無いよりましかな！？

WPますます怖わ！