泥棒が鍵のかかった家に侵入しようとして、様々な鍵を試した話を聞いたことがありますか?WordPressウェブサイトに対するブルートフォース攻撃は、まさにそのような仕組みです。攻撃者は、脆弱な管理者パスワードを持つユーザーを狙って、ブルートフォース攻撃で侵入しようとします。なぜここまで辿り着いたのか疑問に思っている方のために、ここで詳しく説明しましょう。数バージョン前までは、WordPressはユーザーに「admin」というデフォルトのユーザー名を使用していました。攻撃者は、同じユーザー名で様々なパスワードを試し、アクセス可能なあらゆるサイトに侵入することで、これらのアカウントを狙います。.
WordPress に対するブルートフォース攻撃を防ぐにはどうすればよいでしょうか?
- 最初のステップは、ユーザー名を「admin」のまま使用している場合は変更し、よりユニークなものを使用することです。これにより、攻撃者が自動的に特定しようとしている脆弱なカテゴリにあなたが該当する可能性を排除できます。これは、この攻撃から身を守るための最も効果的な対策でもあります。.
- 弱いパスワードは絶対に使用しないでください!「123456」は覚えやすいですが、家の鍵を泥棒に渡すような印象を与えてしまいます。難しいパスワードが思いつかない場合は、パスワードジェネレーターを使って、簡単に推測できない強力なパスワードを作成しましょう。WordPressでは、パスワード作成時に表示されるメーターで、パスワードの強度を簡単に確認できます。.
- WordPressとコンピュータのソフトウェアを常に最新のバージョンに保ち、WP.comをご利用の場合は必ず「2要素認証」をオンにしてください。これにより、ログイン試行が自分とは異なるデバイスや地域から行われた場合に通知されます。.
- 管理ページへのログインが困難になったり、動作が遅くなったりしたと感じたら、ホスティングプロバイダーに連絡してください。適切なアドバイスをしてくれるはずです。.
- ログイン試行回数を制限する追加ツールやプラグインを使用してください。ウェブサイトで複数のログインを必要としない場合は、wp-adminへのアクセス試行(自分以外)をブロックするプラグインを追加することもできます。.
- 過去にこのような攻撃の被害に遭い、攻撃元となるIPアドレスや地域のパターンに気づいた場合は、保護層を追加することができます。具体的には、これらの地域からウェブサイトにアクセスしようとしているIPアドレスの「ブロックリスト」を作成することができます。ただし、残念ながら、そうすることで、ウェブサイトにアクセスしたい正当なユーザーもブロックされてしまう可能性があります。.
