以前から問題となっているWordPressの不正アクセス問題。私も以前プラグインを入れて不正アクセスがないかを確認してみましたが、そのときは特に不審なアクセス履歴はなかったのでよしとしていました。
が、あれからしばらく経って、ふと再確認してみたら・・・えらいことになってました。
海外からめちゃくちゃ不正アクセスが試みられている!
▼プラグイン「Crazy Bone」をインストールして、ログイン履歴を確認したのが以前のエントリーでした。
【WordPress】不正ログイン状況を調べるプラグイン「Crazy Bone」を導入してみた
この時点では全く問題なかったので安心していたのですが、ふとログイン履歴を確認してみたら・・・
▼めっちゃ不正アクセスされてるー!48000件以上アタックされてます。。。![201307_0001[5]](https://love-guava.com/wp-content/uploads/2013/07/201307_00015.png)
ほぼ1秒おきですね。これは怖いです。。。
対策
「Crazy Bone」はログインを試みたときのユーザー名とパスワードがわかるので、対策を講じておきましょう。
ユーザー名は特定されないようなものに変更しておく
私の場合、初期ユーザー名である「admin」は既に変更していたのですが、ブログ名そのままの「love-guava」というアカウントを使っていました。しかも、ブログによっては執筆者の名前が表示されるので、容易に想像できます。本ブログもそうです。
なので、ブログ名や本人名などから想像できないようなユーザー名に変更しておきましょう。ユーザー名を変えても表示名は別途指定できます。私も表示名は「love-guava」のままですが、ユーザー名は全然関係がないものに変えました。
ただし、単なる英単語+数字みたいなのはやめておきましょう。辞書攻撃のような手法っぽいので、できれば無意味な文字列がいいと思います。
パスワードは無意味な文字列を長めに
パスワードはランダムで規則性のない文字列や数字を10桁程度以上設定しておくのが望ましいです。ログイン履歴を見る限り、123とかpasswo0dみたいなパスワードは、あっさり突破されちゃいますよ。
まとめ
あらためて不正アクセスの恐怖を思い知りました。ただ、IDとパスワードの管理はWordPressに限った話ではないので、どのサービスを利用するときも常に推測されにくい、強固なID・パスワードを使うようにしましょう。