WordPressでサイトを構築している場合、注意が必要です。
WordPressのadminアカウントが無差別攻撃を受けているようです。
目的は、サーバの乗っ取り。
対策としては、別の管理者アカウントを作成して、
そちらでログインし直し、adminアカウントを削除しましょう。
以下、TechCrunchからの転載です。
WordPressを使ってサイトを構成しているところは、管理/編集ページにアクセスする人たちのパスワードが“強いパスワード”であることを、あらためて確認しよう。
そしてユーザ名が、”admin”であってはいけない。
HostGatorとCloudFlareからの報告によると、今、WordPressを使っているブログに対する大規模無差別攻撃が行われている。
その大半は辞書を使用する力ずくの攻撃で、とくにWordPressがデフォルトで設定する”admin”アカウントのパスワードを見つけようとする。
HostGatorの分析によると、これは高度に組織化された、そして広範囲に分散した攻撃だ。
同社の見積もりでは、今のところ約9万のIPアドレスが使われている。
CloudFlareのファウンダでCEOのMatthew Princeが今朝語ったところによると、ハッカーたちは約10万のボットをコントロールしている。
CloudFlareが実際に見たところによると、攻撃は相手を選ばずで、特定の種類のサイトに偏ってはいない。
知らない人に自分のパスワードを当てられるのも迷惑だが、犯人たちの最終目的はサーバを乗っ取ることだ。
CloudFlareの説によると、犯人は現在、比較的ローパワーなホームPCのネットワークを使っているが、そのねらいは“強力なサーバによる大きなボットネットを作って次の攻撃に備える”ことだ、という。ホームPCは、大規模なDoS攻撃の舞台にもなる。
しかしサーバを乗っ取って利用すれば、さらに強力な攻撃が可能だ。
今行われている攻撃は、同じくWordPressのサイトをねらった2012年の攻撃に似ている。
でもそのときの攻撃は、古いバージョンのTimThumbを探した。
これはWordPressのテンプレートの多くがデフォルトで使っている、PHPによる画像のサイズ変更ソフトだ。
CloudFlareとHostGator、およびそのほかのホスティングプロバイダの多くが、顧客を保護するための適切な措置をすでに講じている。
強力なパスワードを選ぶことはつねに重要だが、いろいろなWordPressプラグインをインストールして、同じIPアドレスや同じネットワークからのログイン回数を制限し、こういう力づくの攻撃を防ぐこともできる。
ただしWordPressのファウンダMatt Mullenwegは彼の今日の午後のブログ記事で、ユーザ名を’admin’から別の…ありふれてない…ものに変えることが最良の防御だ、と言っている。
犯人は9万ものIPを使っているのだから、特定は困難である、と。あなたのサイトがもしもWordPressを使っていたら、二段階認証をonにして、セキュリティの層を厚くすることもできる。
Amazonプライム会員なら無料で読めるビジネス書4選
上を目指すために読んでおきたい8冊
私が買ってよかったパソコン&iPhone関連商品 トップ8
参考記事:自撮りするなら広角レンズがオススメ