WordPressの不正ログインは1日どのくらいあるのか？

気づけばもうお盆も終わり、もうすぐ9月ですよ。
2013年3本目の投稿です。。。
すっかり筆無精ですね。。。

恐ろしやWordPressのブルートフォースアタック

さて、ちょっと今回は注意喚起も含め、WordPressのセキュリティに関する実体験を。
ここ1ヶ月ぐらいで、とあるサーバーのWordPressがクラッキングされまして。。。
そこのサーバーに入ってるマルチドメイン約50ドメイン分のphpファイルがほぼ全て改ざんされるという体験をしました。
WordPressは初期状態でも1,300ほどのファイルがあり、そこに各々テーマやプラグインをインストールすると2,000ファイル以上、さらには画像などをアップロードするuploadフォルダまで含めると5,000ファイルを超えるサイトもあります。
大きなサイトだとphpファイルだけで2,000ファイルあったりもします。
まあざっくりファイルが1,500ファイルあったとして50ドメイン分ですから。。。約75,000のファイルを全てチェックしないといけないという事態に陥りました。
クラッキングされた原因はなんとなく掴めかけてきてるのですが、所謂ブルートフォースアタックだと思っています。
50ドメインのうち、まだWordPressのユーザー名が「admin」で運用されているものがあり、パスワードも推測されやすいものがありました。
そのサイトにはクラッキングの元となったであろうファイルが5つも見つかりました。
そのクラッキングの詳細と対処法はまた気が向けば書くとしまして、本題を。

不正ログインをを記録してくれるプラグイン「Crazy Bone(狂骨)」をインストールして3ヶ月経過

今年の5/13にちょっと興味のあるプラグインがリリースされたので即インストールしてみました。
そのブラグインは
WordPress のログイン履歴を保存するプラグイン「狂骨」。
インストール方法や使用法は、上記サイトを参照して頂くとして、そのプラグインを本ブログにインストールしてから3ヶ月たったので、簡単なレポートを。

導入したのはプラグインがリリースされた5/13当日。
インストール当日にいきなり4件の不正アクセスがありますね。。。
中国、アメリカ、フランスからか。。。

本ブログは1日300人ぐらいしか閲覧しない弱小なブログですが。。。
(今年まだ2記事しか書いてないのに1日300人も見てもらってるんですね。。。申し訳ない。。)
こんなブログのWordPress狙ってどうすんの？って思いますが。。。

インストールしてから3ヶ月経過した今日現在。
ユーザー名「admin」で不正ログインを試みた件数。。。

4,930件！！
マジですか。。。

それからユーザー名「admin」以外で不正ログインを試みた件数。。。

2,242件！！
マジですか。。。
合計7,172件。。。
3ヶ月でざっと7,200件。。。
1ヶ月で2,400件。。。
1日で。。。80件！！！

こんな灰まみれの田舎のぽっちゃりサラリーマンのブログに1日に80件も不正アクセス。。。
何を考えてるのでしょうか。。。
お疲れ様ですとしか言いようがありません。

ということは、アクセスの多いブログですとさらに多くの不正アクセスがあるわけです。
そのうち破られますよ。本気出されると。

WordPressはほんとに便利で、2分でインストールしてサイトが作れてしまいます。
だからこそ、セキュリティには慎重になりましょう。
簡単にサイトが作れるからって、安直なユーザー名、パスワードを設定しないように。くれぐれもお願いします。
こんな弱小なブログでさえも1日80件もの暇人優秀なハッカーが狙ってるわけですから。

WordPressのユーザー名・パスワードは複雑なものにしましょう

まとめというわけではありませんが、WordPressをインストールして、ユーザー名、パスワードを決めるときは

• 「admin」というユーザー名は絶対に使わない。
• パスワードは安直な(ドメイン名の一部など)ものにしない。
• WordPressをインストールしてユーザー名、パスワードを設定する時は一旦落ち着いて深呼吸してからよく考える。

あなたのWordPressがクラッキングされないことを祈っております。