WordPressのadminアカウントアタックまだ続く

スタッフ日誌

WordPressのAdminアカウントへのアタックが未だに続いています。
WordPressにはログイン履歴を残すプラグイン、「Crazy Bone」という素晴らしいアプリがあります。ログイン成功、失敗、ユーザー名が存在しないなどのログを残してくれますし、失敗したパスワードも残してくれています。

ここいらでちょっと傾向をみたくてSQLからエクスポートして、UNIQしてみました。結果的にはアカウント名は全て「admin」でアタックされていて、パスワードは色々なパターンで何度もアタックされているので、パスワードだけソートしてユニーク抽出してみました。

WordPress adminアタックパスワード

パスワードのユニーク抽出で495パターンありました。ロシア語みたいなのは文字化けしちゃったので要らないかなと思って削除しました。当サイトには「admin」というアカウントは最初から作っていませんし、ワンタイムパスワードの二段階認証にしているのでそう簡単には突破されないと思います。もちろんWordPressの脆弱性なんかを突かれると防御出来ない可能性もあるので、アップデートには追従していかなくてはなりません。

コメント

タイトルとURLをコピーしました