私のブログはWordPressで作られています。8月にあったWordPressを使ったブログの乗っ取り事件が世界中に多発しまして、多くのユーザーがブログのセキュリティに関心を持った月で9月はそれに対する対応策を練った月でした。
そんなのかんけーねー♪と被害の大きかったレンタルサーバーをロリポップで使っていても、どこか他人事でしたが、自分事にしてくれたのはRSSを購読しているこの記事でした。
[Я]ハッキング被害に遭いました。ヘコみまくりつつやった調査&作業まとめ
日ごろ読んでいるブログが被害にあっていたなんてと驚きました。というわけで早速このブログにそってセキュリティを強化しました。
- ログインアカウントの変更
- WordPressとロリポップのパスワードの強化
- パーミッションの強化
- プラグインCrazybone狂骨の導入
プラグインCrazy Boneの導入について
Crazy Boneはログイン履歴を保存してくれるプラグインです。ログインしようとしたときのユーザー名、パスワード、時間などを記録してくれます。
Crazy Bone – WordPressのログイン履歴の確認
Crazyboneを導入しても私以外の人がログインしているしばらく形跡がなかったことと、IPアドレスが異なりますと言われてうるさかったのでプラグインを外そうと思っていましたが、とうとう私のところにも攻撃が来たのです。
ブルートフォースアタックが!(←これが使ってみたかった)
ブルートフォースアタックは日本語で総当たり攻撃です。辞書に載ってるキーワードをパスワードにいれてログインできるまで探すというものです。私のブログはたいしたサイトではないので、有名なブログではもっとこういったアクセスがあるのでしょう。
10/19、21にかけてユーザー名をadminで342回のログインエラーがありました。21日以降はパタッとやみ、今はありません。
WordPressにはこういったログイン履歴を記録する昨日があるので、誰かがよからぬことをを企んでいるということが分かりますが、twitterやFacebookにもきっと、こういったことがあることでしょう。だからユーザー名は隠せないかもしれませんが、パスワードは辞書に載っているものを使うのではなく、大文字、小文字、数字、記号を織り交ぜてパスワードを作りましょう。