- 2018年7月17日
- WordPress脆弱性情報
WordPressの、対ブルートフォースアタック用プラグイン、Loginizerに脆弱性。
「ブルートフォースアタック」という言葉、なぜかディズニーを連想しますが、全くディズニーとは関係ありません。
ブルートフォースとは「力づく」のことで、ソフトウェアセキュリティの分野では「パスワードの総当たり攻撃」を指します。
総当たり攻撃は簡単なわりには効果が高く、パスワードが短かったり、数字だけで構成されていたりと脆弱なものを使っていれば、簡単にハッキングの被害を受けてしまいます。
そのためにパスワードは特殊文字や大文字や、最低文字数と言ったパスワードポリシーがあるのですが、パスワードポリシーがある程度しっかりしていても、安全とは言い切れません。
IPAによれば、昔のPCを使っていたとしても、6桁では英字、数字記号を使っていたとしても、54日で破ることが可能です。
出典:https://www.ipa.go.jp/security/txt/2008/10outline.html
このため、セキュリティ管理者はパスワードポリシーの徹底とともに、パスワードの「総当たり攻撃」からシステムを守らなければなりません。
特に、WordPressは管理画面のURLがわかっているため、非常に総当たり攻撃に弱いと言えます。
そこで必要なのが、このプラグインです。
Loginizerは最大再試行回数に達した後にIPのログインをブロックすることにより、ブルートフォース攻撃を防ぎます。また、Loginizerを使用してログイン用のIPをブラックリストまたはホワイトリストに登録することができます。
結局、管理画面にはIP制限、VPNでアクセスするのが一番安全なのですが、様々なライターにログインさせたり、会員制サイトなどを構築している場合は、次善の策としてこのような対策が取られるわけです。
さて、今回の脆弱性はクロスサイトスクリプティング。
セキュリティソフトに関するものですので、対策は早めに必要です。
対象となるバージョンは、Loginizer 1.3.8 から 1.3.9。最新版にアップデートすることで対策ができます。