WordPressで仕事用アカウント情報を見つける3つの方法

2021/03/21 セキュリティーニュース
logo

この記事は、WordPressが攻撃されないようにどうすればいいのかについて、書かれたものです。WordPressをターゲットとした攻撃者はこれらの手法を知っていて、攻撃者は1つのサイトに対して実行するのではなく、全世界のWordPressで構築されたサイトに対して、自動で実行することが可能です。

前提条件:

ターゲットサイトにWordPressがインストールされていること
Kali LinuxのWPscanを検証システムとして使用
Webアプリケーションへの自動攻撃用としてBurpSuite(侵入者)アプリケーションを使用

 

①WPscan
WPscanは、ブラックボックス脆弱性スキャナーとして使用されるコマンドラインユーティリティです。通常、専門家やブロガーがサイトのセキュリティをテストするために使用します。

 

②Metasploit
MetasploitはKaliLinuxとともにインストールされます。したがって、最初のステップはコンソールを起動し、次にWordPressに必要なモジュールを起動することです。

以下のモジュールは、アカウントを監査するために使用されます。最初にユーザー名が検証され、次にパスワードがバインドされます。

 

③Burp Suite
この問題を解決するには、Burp suiteコミュニティエディションが適しています。または、KaliLinuxにインストールされているバージョンを使用することもできます。 
Burp Suiteを起動し、WordPressログインページを開いて、BurpProxyでインターセプトをアクティブにします。次に、現在の要求への応答を後で傍受するために、任意のユーザー名/パスワードを指定します。

■ブルートフォースから身を守る方法
以下の手順を実行することで、このタイプの攻撃から保護できます。

パスワードの長さ:理想的には、パスワードは8〜16文字の長さである必要があります。最も一般的なパスワードを避け、定期的に変更することが重要です。

パスワードの複雑さ:パスワードには大文字/小文字、数字、特殊文字を含める必要があります。ユーザー名は、単一の単語ではなく、複雑なパスフレーズを選択する必要があります。
パスワードが複雑になるほど、検索に時間がかかります。

連続認証失敗回数の制限:コントロールパネルでの連続認証失敗回数を制限します。たとえば、3回失敗した後、IPを一定期間ブロックする必要があります。

二要素認証:ブルートフォースから身を守るもう1つの方法は、二要素認証(または2FA)です。
この技術は、承認確認に別のチャネルを採用しています(通常は電話または電子メールによる)。

キャプチャ認証:キャプチャ認証をインストールすると、認証に自動スクリプトを使用するボットから身を守ることが非常に簡単になります。

ファイアウォールプラグイン:ブルートフォース攻撃が失敗した場合でも、サイトの速度が低下したり、サーバーが完全にクラッシュしたりする可能性があります。
したがって、たとえばファイアウォールを使用してこれらの要求をブロックすることが重要です。これにより、不正なトラフィックが除外され、サイトへのアクセスがブロックされます。
Cloudflareは、最もよく知られているブルートフォース保護サービスの1つです。

バックアップ:不幸な偶然の一致が発生するのに備えて、常に新しいバックアップを作成し、サーバーを正常な状態に復元する計画を立てる必要があります。
自動バックアップを設定できるWordPressプラグインがいくつかあります。

ディレクトリコンテンツをブロックし、WordPressを定期的に更新することも、ブルートフォース攻撃からの保護に役立ちます。