« 交通事故 | トップページ | 偽メール訓練 »

2015.07.22

WordPress ブルートフォースログイン

ウェッブサイトを作成するツールに、WordPressというオンラインソフトウェアがある。ウェブブラウザで管理者ページ "wp-login.php" を開き、ログインし、ページを作成・編集する。

私の管理するウェッブサーバの "wp-login.php" に対して、最近頻繁にログイン試行の攻撃がある。1つのコンピュータから数時間かけて数千回も様々なパスワードを試みているようだ。また、1日に複数のコンピュータから攻撃を受けることがある。万が一ログインされてしまうと、ウェブサイトを書き換えられてしまう。

Firewallのログなどを見てみると、ちゃんと WordPress で構築したサイトのみが狙われている。どうやら、WordPress で管理されているウェブサイトのリストを攻撃者たちが共有しているようだ。

私の方では、今回の攻撃に対して、特に対応していない。というのも、今狙われているウェッブサイトというのは、WordPress が動いていないからだ。当初は WordPress で構築・運用していたが、現在は追加・編集するようなことがなくなったので、HTML ファイルを静的に書き出し、ウェブサーバ上に展開している。

このため、攻撃者がログイン試行のため、"wp-login.php" へアクセスしても、404 (Not Found) のステータスコード
が返っているはずだ。これは "wp-login.php" が存在しないということで、いくらログインしようとしても無理だ。
しかし、攻撃は中断されず、何千回もログインの攻撃が続く。

このような攻撃ツールを作成する場合には、きちんとステータスコードまで確認して頂きたいものだ。

|

« 交通事故 | トップページ | 偽メール訓練 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/1418/61938246

この記事へのトラックバック一覧です: WordPress ブルートフォースログイン:

« 交通事故 | トップページ | 偽メール訓練 »