WordPressのユーザーadminへのパスワード攻撃(ブルートフォースアタック)の実態、1秒ごとに連続150回の攻撃

by 管理者
4月 17日 2013 年

数日前からWordpressのユーザadminを狙って、パスワードを手当たり次第変えて力技でログインを試みるブルートフォースアタックが話題になっていますが、私のサイトの過去のアクセスログを見ていたら、私のサイトも攻撃を受けていたことが分かりました。

 

これが、アクセスログです。

173.38.155.8 - - [14/Apr/2013:12:53:22 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 200 2592 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:53:23 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:53:24 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:53:25 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:53:27 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"

途中略

173.38.155.8 - - [14/Apr/2013:12:56:46 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:56:48 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:56:49 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:56:51 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"
173.38.155.8 - - [14/Apr/2013:12:56:52 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 200 3501 "-" "Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10"

 

 

4月13日~4月17日までのログを確認しましたが、ブルートフォースアタックと思われる攻撃はこのIPアドレスだけ。

見てのとおり、1秒ごとに150回パスワードを変えて攻撃してきていました。

9万件以上のIPアドレスを使って攻撃してくると聞いていたので、IPアドレスを次々と変えて攻撃するのかと思っていましたが、そうではないみたいです。

173.38.155.8のIPアドレスで150回攻撃したら終了でした。

このような攻撃方法であれば、①ユーザーadminを使わないことは当然として、②何回かパスワードを入力間違いしたら、同一IPからのログインにロックをかける対策も有効です。

 

 

私のサイトではユーザー名にadminを使っていないので①の対策は実施済み、さらに②の対策としてパスワードを数回間違えるとロックがかかるプラグインLimit Login Attempts Settingを導入しました。

 

Limit Login Attempts Settingの設定内容の説明

※ デフォルトの値を若干変更しています。

① パスワードを間違えても5回までリトライできる。

しかし、5回ログインに失敗したら、20分間ログインをロックする。(ログインを出来なくする。)

4回連続してロックされたら、24時間ログイン出来なくする。

12時間でリトライしたときの失敗をリセットする。

② リバースプロキシを使っているか、ダイレクトに接続するのか指定する。この場合はダイレクト接続する。

③ クッキーに保存された情報を使ってログインするか指定する。この場合はクッキーを使う。

④ ロックしたIPアドレスをログに残す。4回ロックしたらEmailで知らせる。

 

limit login attempts setting

 

ちなみにパスワードを打ち間違えると、以下のような画面が表示されます。

また、ログインに成功してもリトライできる回数はリセットされません。これはちょっと意外でした。

あくまでリセットする条件は①に指定した時間で決まるみたいです。

ログイン失敗の画面

この記事へのトラックバックURL