最近ブルートフォースアタックという言葉をよく聞きますね。
多分あっていると思いますが、まずは認識。
ブルートフォースアタック = 総当たり攻撃。数打てば、いつかは一発あたるでしょ。的な。
怖いですね。でも私のブログなんてそんな対象にならないだろう、と思っています。
そんななか、WordPressのフォーラムで、たまたまあがっていたのが、
IDやパスワードを空白でアタック
されるというような内容でした。
へーそんなアタックも存在するんだ。もしやるとすれば、ログイン画面のURLを特定する為にかな?なんて思ったり。
ちょっと気になったので、「ブルーフォースアタック 空白」で検索してみました。
すると・・・なんと!Googleの検索窓の直下にこんな表示が。
「次の検索結果を表示しています: ブルートフォースアタック 空白」
あ、ブルーじゃないんですね。ブルートなんですね。
真剣にこの記事を読まれていた方へ。大変失礼しました。ここから下は、ちゃんとしています。
で、検索結果2件目ぐらいのYahoo!知恵袋の質問に目がいきました。質問は、
「こんな事ここで聞くのはお門違いかもしれませんが、 8文字のブルートフォースアタックってどれくらいの時間を要しますか?」
という内容。ちょっと気になりました。
回答者の計算は、私には全く理解できませんでした。そんなことはおいといて、その回答は、
5.8×94×94×94/60/60/24≒約55日
という結果だそうです。後ろの60/60/24は1日の事か。でもこの94って何なんだ?w
いや、その前に。突破される時間ってそんなに早いの??
もちろんこれは、8文字のブルートフォースアタックの場合。ログインのパスワードなんかがこれにあたると思います。ユーザーのIDも分からなければ、もっと時間を要するはずです。
でも、最近WordPressへのブルートフォースアタックは、ユーザーIDを「admin」としての攻撃が多いようです。
そう、何をかくそう…かくしていない…このブログも…。 😳
ということで対策しよう( Liteだよ
ちなみに私の場合ですが、サーバはロリポップを使用しています。
幸い、ロリポップはその対策として、「WAF(ウェブアプリケーションファイヤーウォール)」という機能を実装してくれました。
なるほど!これで万時解決!
よし、コンパネからWAFを設定しよう!
という事で設定しました。すると…
「記事の更新やコメントがたまに返せない等になる(エラーとなる)」
事が発生しました。う~ん、本当にWAFの設定の影響かな?
WAFの機能を切ってみました。すると・・・
「記事やコメントがほぼ100%更新」
う~んw。
まぁ、いいや。他に何かWordPressか、PHPか、.htaccess系の設定を変更すると、使えるようになるのかな。
で、次。
よくあるパターンとして、ユーザー名を変更しよう!という事が多いと思います。
よくある攻撃対象のユーザーIDが「admin」が多いから、というのが理由として多いようです。
ユーザー名変更するとなると、記事の作成者も変更しないといけないのか~。ちゃんと変更できたかどうかを確認するのも大変そうだな~。途中で何かエラーが出たら嫌だな~とか、ネガティブな事をとりあえず考えてみました。
で、少しポジティブに、ユーザー名を変更しようと色々と調べていると、WordPressのフォーラムでこんな記事が。
ユーザー名をadmin以外にしてもセキュリティ上の意味は無いのでしょうか
読めばなるほど。よく考えれば確かにそうですね。
admin決めうちでアタックしてくるものは防げる
そして、決め手となる記述が。
補足ですが、twitterでも同様のことがいえますね。
URLを調べればログインIDが分かります。
twitterはあまり使っていないので詳しい仕組みは分かりませんが、そうなるんですね。
ユーザーIDを変更する事自体も、何割かアタックは防げそうですね。
かといって、対策を大きくするのも…。どうかな~。ブログのアクセスが多い訳でも無いし。大事な事だとは分かっているけれど、セキュリティはいたちごっこだし、超機密情報を持っているわけでもないし。
よし、手っ取り早い方法として…。
結論
「パスワードを30文字」ぐらいにしよう。
という結論に達しました。これなら、パスワードを決めるだけ。そして出来る限りランダムな英数字+記号を混ぜまぜと。
30文字ぐらいなら、どれくらいの時間が掛かるんでしょうか。
追記
よくあるコメントを投稿する時の画像キャプチャの文字列を入力しないとコメントができない仕組みを、ログインにも出来ないんでしょうか。。そんなプラグイン無いかな。