- 2014年6月6日
- WordPress脆弱性情報
WordPressサイトへの攻撃者が実際に使ったログイン名とパスワード
WordPressサイトへの攻撃は、総当たり攻撃(ブルートフォースアタック)が用いられることが多いです。
そして、多くの場合は「よくありそうなログイン名」や、「よくありそうなパスワード名」で攻撃を仕掛けてきます。
ここでは、ログイン履歴を記録するWordPressプラグインである、crazyboneにより取得した、攻撃者の実際に使ったログイン名とパスワードを事例として取り上げたいと思います。
攻撃者が用いたログイン名 adm
パスワード forever jordan mmmmmm stargate 7777 galaxy georgia ・・・・
この攻撃者はadmというログイン名を用いて、辞書に載っているような単語を総当りで当てはめています。
攻撃者が用いたログイン名 admin
パスワード gfhjkm 111 147258369 666666 abc1234 qweqwe
この攻撃者はadminというログイン名で、連続した文字列や、ランダム数値などを当てはめて攻撃しています。
他、攻撃者が用いたログイン名としては、root administratorとあり、上の4つのログイン名でアタック全体の9割を占めています。
このことから推測すると、ログイン名はadm、admin、adoministrator、rootの4つは避けること。文字数は少なくとも8文字以上、そして、連続した数値や文字列は避けること、というよく言われる話が真であるとわかります。