WordPressサイトのadminアカウント狩り

WordPressを良く使っている身としては嫌なニュースを読みました。特にデフォルトユーザー名「admin」のまま使用しているWordPressサイトが狙われているそうです。

全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている | TechCrunch Japan

ちなみに私のサイトはadminというユーザー名は使っていません。更に表示名も私の名前にしているので表示名でアタックされてもそのユーザー名は存在しません。その点では少し安心です。

辞書にも無いハズの造語をユーザー名にしているので辞書アタックでも多分大丈夫です。しかし、総当りでこられるといずれクラックされてしまう可能性はあります。

また、当サイトは共用レンタルサーバーでは無く、VPS上で稼働しているので管理者権限を取られてしまうとPHPを書き換えてVPSごと乗っ取られてしまう可能性がグンと高くなるので備えておく事にしました。Googleの二段階認証システムを使うことが可能になるWordPress用のプラグインが存在するのです。

Google Authenticator for WordPress

二段階認証 for WordPress既にGoogleの方は二段階認証に切り替えているので、このプラグインをWordPressに実装して、WordPressアカウント毎に二段階認証を有効にしてQRコードを生成させます。そしてそのQRコードを、スマートフォンにインストール済みのアプリ「Google認証システム」 に読み込ませると、ログイン用のワンタイムパスワードを生成してくれるようになります。

通常のユーザー名、パスワードに加えて、「Google Authenticator code」を入力しないとログインできなくなりました。これは良い感じですね。

「Google Authenticator code」は、Androidデバイスにアプリをインストールして、Googleアカウントとヒモ付をしておけば、連携アプリとしてこのプラグインが機能してくれるので、Googleの認証システムをWordPressで流用させてもらうことが出来るという仕組みですね。Googleのやることは時々癇に障ることもありますが、こういうものを使わせてもらえるのは実にありがたいことです。

私の二段階認証ジェネレータ私はVPS上のLinuxサーバーを操作する為に、ハードウェアキーボード付きのAndroidスマートフォンを使っています。もっぱらデータ通信専用で音声通話は全く使用していませんが、Androidデバイスの便利さはこういうところにもありますね。

ヤフオクで未使用品を5,000円で買ったのが2年以上前ですが未だにVPSをSSHでリモート操作したり、こうやって認証コードを生成させたりと言う用途で充分に活躍してくれています。カメラもそこそこ使ってるかな(w

尚、私のGmailアカウントは隠匿しておく為に画像を加工しましたが、これはスマートフォンのコード生成画面をキャプチャしたものです。時間と共にコードは変化しますのでこのコード生成ツールを持っていないと事実上ログインは出来ないという事になりますね。余談ですが最近はrootedで無くてもAndroidデバイスの画面がキャプれるので便利になりました。

さてWordPressを使っている、個人、企業、団体の皆さんも是非この方法を採用される事をオススメします。これだけでかなりセキュリティはアップすると思います。

WordPressサイトのadminアカウント狩り” への2件のコメント

  1. ピンバック: WordPressサイトが狙われ続ける(Google二段階認証でセキュアに) | S-Factory

  2. ピンバック: Google Authenticatorを使う為に | S-Factory

コメントを残す