WordPressでのブルートフォースアタックが話題になったこともあり、一定回数ログインに失敗するとロックアウトして、ログインに失敗したIPやユーザー名をログで残せるプラグイン Limit Login Attempts を複数のブログに導入することにしました。
そこで実験として、個人的に運用しているWordPress ブログ3 本にLimit Login Attemptsを導入して、約1ヶ月の間にロックアウトされた件数と、ログインに使われたユーザー名をあぶり出してみることにしました。
ロックアウトされた数
実験に使ったブログの概要、及びロックアウトされた回数は以下の通りです。| ブログ | ブログ運用年数 | 日別平均訪問数 | 6/1 〜7/4 までの ロックアウト総数 |
|---|---|---|---|
| A | 2年 | 250 | 1160 |
| B | 5年 | 300 | 1 |
| C | 1ヶ月半 | 80 | 305 |
いずれのブログも、Limit Login Attemptsプラグインを使って「5回ログインに失敗するとロックアウト」するように設定しています。
あくまでロックアウトされた回数ですので、ログインを試みた回数はもっと多いかもしれません。
ログイン時に使われたユーザー名
さて、実際にログイン時にどのようなユーザー名が使われたか?と言うと…
admin
administrator
support
ドメイン名
administrator
support
ドメイン名
で、ブログ別に使用されたユーザー名の内訳はこんな感じです。
| ブログ | admin | administrator | support | ドメイン名 |
|---|---|---|---|---|
| A | 725 | 177 | 69 | 189 |
| B | 1 | 0 | 0 | 0 |
| C | 59 | 163 | 83 | 0 |
圧倒的に多いのはやはりadmin。
それ以降はブログにより数はバラけますがadministrator、supportがあったり、
sample.com の sample の部分でロックアウトされた例もあれば
sample.com のドメイン名ごとダイレクトに入れてくる場合もあります。
WordPress 導入時からできる限りのセキュリティ対策を!
今回の結果から、admin のユーザー名「以外」で認証を突破しようとするケースもかなり多いな〜と思いました。また、開設してわずか1ヶ月半で SEO も殆どやっていないようなブログでも大量にログインを試みられるコトもあれば、逆に数年運用しているのにほとんど来ない…
例もあるので、ブログを立ち上げる時から可能な限りの防御対策をしておきたいですね。
コメント