ワードプレスで制作したホームページで受ける攻撃の一つ、代表的なものですが「リスト攻撃」というものがあります。

ワードプレスのように更新ができるホームページには、そこにログインするための「ユーザーID」と「パスワード」が存在します。

リスト攻撃は簡単に言うと、そのユーザーIDとパスワードを、ウイルスをばらまいているハッカーが作ったコンピュータープログラムがランダムに”何度も”打ち込み突破を試みるものです。

iPhoneのパスコードがわからなくなった時に、推測で何度かトライした経験のある方も多いと思いますが、それに近いようなものです。

ホームページの場合、「ユーザー名」と「パスワード」がわからないと突破することができないのですが、まず、この「ユーザー名」が「パスワード」ではないからという事でとても単純なものにしているケースが多く

一番よくあるのが「管理者」を意味する「admin」、続いてドメイン名やサイト名、ページに表示されているユーザー名　というものが多々使われており、ウイルスもそのあたりはわかっているのでかなり早い段階で「ユーザー名」がばれてしまいます。

最近ではadminなど単純なユーザー名は危険だ　という意識が広がってきたため、もっと推測されにくいものや複雑なユーザー名にされるケースも増えてきました。

しかし、ワードプレスでは、ドメイン名の後ろに　/?author=1（末尾の数字を変えるだけ）を入力すると、一瞬でわかってしまいます。なので、結局はわかりにくいユーザー名でも簡単にばれてしまいます。

ユーザー名が知られたということは、あとはパスワードを突破すればいいだけで、いちいち人間がキーボードを打って試すのではなく、コンピューターが推測される、もしくはランダムな文字列をオートマチックに何度も何度も打ち込んでアタックしてきます。

なので簡単なパスワードではあっという間に突破されます。

コンピューターが自動的にやることなので、すさまじい数を一気にアタックしてくるわけです。

このリスト攻撃はワードプレスだけのモノではなく、あらゆるホームページ管理ツールやウェブサービスも同様です。

かなり多くのホームページがこのリスト攻撃でガンブラーやサイト乗っ取りウイルスに侵入され、サイトを壊されたり、逆にウイルスをまき散らすホームページに書き換えられたり、サイト内にあるユーザーや顧客情報を盗まれたりしています。

防御として有効な手段としては、

1. ユーザー名を複雑なものにする
2. パスワードを数字、記号、大文字小文字を混ぜて超複雑なものにする
3. ユーザー名とは別のニックネームを設定し、サイト上ではそのニックネームを表示するようにする
4. Edit Author Slug（プラグイン）を導入し、/?author=　コマンドでもユーザー名を表示させないようにする

などがあげられます。