WordPressのセキュリティーについて

ブルートフォースアタックの話は随分前から言われていることは、知っていたのですが身をもってしったので気をつけます。

ユーザー名のadminは危険ということだったのでadminじゃないから大丈夫って思ってると痛い目見た。

このサイトでもプラグインのCrazy Boneを有効にしてアクセスをとってみたら、
直ぐにユーザー名がばれていたのでauthorでユーザー名を調べたのかな?
重要なのは「http://(WordPressのURL)/?author=ID」でアクセスされるとユーザー名がばれちゃうので気持ち悪いから「Edit Author Slug」というプラグインを使ってニックネームの設定等をしてユーザー名を判別させないことにした。
また、コメント等を返信している場合などユーザー名を推測されやすいのでニックネームの設定をしたほうがいいと思います。

そして「Edit Author Slug」のプラグインを使用してすぐにadminユーザーでbotアクセスが増大してサーバーのパフォーマンスに影響を与えていることを確認。
容赦なくアクセスが来るので対策としてBasic認証を有効にする。
amimoto AMIをお使いの方はこちらから
http://ja.amimoto-ami.com/faq/wordpress-admin-access-control/

さて、痛い目みたのはこのサイトではなく別なサイトですが、感じたことが2つあります。

  • ブルートフォースアタックは定期的に行われているのではないか?
    パフォーマンスをみてみると毎日短時間を繰り返しバレないように地道に活動している
    だとしたら、IP弾くなりbotをさせないようにするなりしないと怖いですね
  • 悪意あるファイルを設置された場所がWordPressのメディアファイル「uploads」フォルダにも及んでた
    ディスクを丸ごとバックアップとって入れ替えてもだめだし、WordPressのインポートエクスポートを使って新規サーバーに引っ越しても「uploads」の中のファイル設置に気づかないとダメだし

なにかおかしいと感じることができたのはパフォーマンスをチェックすることが出来たからでした。
簡単に出来ることといえば、パスワードを強力にすることと、なにかおかしいと感じた方は「uploads」の中身を確認することですかね?
マメにチェックしないとダメなんですね、、
至らぬばかりに、
はぁ、、鍛えられたなぁ、、本当に困りますね。
気をつけて