なんかツイッターで話題になっているらしいので私も所見を。
こういう小ネタで投稿頻度を高めに保つ作戦(
WordPressはど標準な状態でのセキュリティ性能は普通に低いと思います。
”セキュリティ”とひとまとめに言ってしまうと良くないですが、少なくともブルートフォースアタックにはかなり弱いです。
ログイン画面のURL変更みたいな、簡単だけど効果的な設定って標準で入ってませんよね?
WordPressはユーザー数が多いのもあって攻撃の標的にされやすい、という側面もあります。
ブルートフォースアタックを仕掛けるときに、WordPressを使っているサイトをリストアップしておけば
ドメイン/login(※標準のURL忘れたから適当)
に対して機械的に処理できるので、標準設定にしておくと良いカモなんですよね。
山程あるWordpressのサイトに対して同じ手法で機械的に攻撃を仕掛ければ少なからず引っかかる、というのが標的にされやすい理由で、結果的にセキュリティが弱い、という印象に繋がっています。
もしこの世に存在するすべてのサイトが異なる構造をしていれば機械的に処理することが難しい、ということは想像できると思います。
もう1つ攻撃されやすい理由があって、標準設定だと投稿者のログインIDがバレてしまうんですよ。
今の最新版が同じ仕組みかどうかは分かりませんが、これは結構クソ仕様だと思います。
IDがバレていて、ログインページのURLがバレていて、ワンタイムパスワードも入っていないとくれば、後はパスワードを総当りするだけです。
セキュリティよわすぎー。
結論、WordPressは初期設定そのままだとセキュリティ弱い、は本当です。
設定ちゃんといじればその弱さをカバーできる、も本当です。
強いかどうかはわかりません・・・私はハッカーではないですし、評価基準がありません。
原理的に、こうすればこの攻撃は防げる、というのが多少分かるくらいです。
設定ですが、まずプラグインを入れましょう。
何を入れるかはググってください。
(ここで具体的な名称を書かないのにも理由があります)
その上で、
1、ログインURLを変更する
2、ログインIDと投稿者スラッグを別々にする
3、ワンタイムパスワードで多要素認証(又は二段階認証)にする
最低でもこの3つは設定しましょう。
その他に効果的なのは、
4、ログイン失敗時の応答遅延
5、ログイン失敗回数でのIPロックアウト
この辺も入れておけばブルートフォースアタックはピタッと止みます。
というか多分ワンタイムパスワードだけでも入れておけばカモリストからは外れると思います。
もっと詳しい話は他のサイト・・・というかIPAのサイトとかで勉強してください。
私のブログも含めてですが、有象無象では信頼性に掛けるので、情報源はかなり意識した方が良いですね。
この記事書いていてふと思ったのですが、今後のセキュリティ常識もまたどんどん変わっていきそうですよね。
前々から思っていたのは量子コンピュータの普及による影響です。
一般人まで普及はしないにしても、研究所レベルでの所持なら全然有りえます。
量子コンピュータってほぼ実用化まで行っていたはずですけど、それも2、3年前の話だった気がしますが、今どうなってるんだろう・・・
もう1つ気になったのがAIです。
AIが人間の思考能力を凌駕するのはもう時間の問題、というか凌駕していると思うのですが、それをハッキングへ活用したときにどうなってしまうのか。
人間の思考能力では追いつかないような攻撃手法が登場したりするんでしょうか・・・
攻撃手法でなくても、脆弱性探しとか。
某CEOとかの著名人が「高度なAIは人間を滅ぼす」とか誰でも想像できそうなことをドヤ顔で仰ってますけど、予想以上にその時が早く訪れそうな気がしてきました。
AIにはAIをぶつける、でうまくいくんでしょうか・・・
防御側はどうしても後手に回ってしまう印象があるのですが・・・
仮にうまく行ったとしても防御AI持ってない企業は死滅するかもしれません。
あるいは防御AI作り上げた会社が荒稼ぎするのか。
プログラマーやっていて常々思うのが、オフライン専門に鞍替えしたいということです。
インターネットにさえ繋がっていなければ安全なので笑
・・・そうか、もしAIハッカーが登場したらインターネット切ればいいのか。
今の時代なんでもクラウドクラウドでインターネット無しなんてありえない状態ですけど、もしかしたらインターネット無しが当たり前の時代へ逆行するときが来るのかもしれません。
そんなこと考えもしませんでしたが・・・あり得る気がする・・・