2017年10月5日 10:05 pm by

ワードプレスで制作したホームページで受ける攻撃の一つ、代表的なものですが「リスト攻撃」というものがあります。

ワードプレスのように更新ができるホームページには、そこにログインするための「ユーザーID」と「パスワード」が存在します。

リスト攻撃は簡単に言うと、そのユーザーIDとパスワードを、ウイルスをばらまいているハッカーが作ったコンピュータープログラムがランダムに”何度も”打ち込み突破を試みるものです。

iPhoneのパスコードがわからなくなった時に、推測で何度かトライした経験のある方も多いと思いますが、それに近いようなものです。

ホームページの場合、「ユーザー名」と「パスワード」がわからないと突破することができないのですが、まず、この「ユーザー名」が「パスワード」ではないからという事でとても単純なものにしているケースが多く

一番よくあるのが「管理者」を意味する「admin」、続いてドメイン名やサイト名、ページに表示されているユーザー名 というものが多々使われており、ウイルスもそのあたりはわかっているのでかなり早い段階で「ユーザー名」がばれてしまいます。

最近ではadminなど単純なユーザー名は危険だ という意識が広がってきたため、もっと推測されにくいものや複雑なユーザー名にされるケースも増えてきました。

しかし、ワードプレスでは、ドメイン名の後ろに /?author=1(末尾の数字を変えるだけ)を入力すると、一瞬でわかってしまいます。なので、結局はわかりにくいユーザー名でも簡単にばれてしまいます。

ユーザー名が知られたということは、あとはパスワードを突破すればいいだけで、いちいち人間がキーボードを打って試すのではなく、コンピューターが推測される、もしくはランダムな文字列をオートマチックに何度も何度も打ち込んでアタックしてきます。

なので簡単なパスワードではあっという間に突破されます。

コンピューターが自動的にやることなので、すさまじい数を一気にアタックしてくるわけです。

このリスト攻撃はワードプレスだけのモノではなく、あらゆるホームページ管理ツールやウェブサービスも同様です。

かなり多くのホームページがこのリスト攻撃でガンブラーやサイト乗っ取りウイルスに侵入され、サイトを壊されたり、逆にウイルスをまき散らすホームページに書き換えられたり、サイト内にあるユーザーや顧客情報を盗まれたりしています。

防御として有効な手段としては、

  1. ユーザー名を複雑なものにする
  2. パスワードを数字、記号、大文字小文字を混ぜて超複雑なものにする
  3. ユーザー名とは別のニックネームを設定し、サイト上ではそのニックネームを表示するようにする
  4. Edit Author Slug(プラグイン)を導入し、/?author= コマンドでもユーザー名を表示させないようにする

などがあげられます。