WordPressサイトへの攻撃者が実際に使ったログイン名とパスワード

WordPressサイトへの攻撃は、総当たり攻撃(ブルートフォースアタック)が用いられることが多いです。

そして、多くの場合は「よくありそうなログイン名」や、「よくありそうなパスワード名」で攻撃を仕掛けてきます。

 

ここでは、ログイン履歴を記録するWordPressプラグインである、crazyboneにより取得した、攻撃者の実際に使ったログイン名とパスワードを事例として取り上げたいと思います。

 

攻撃者が用いたログイン名 adm

パスワード forever  jordan mmmmmm  stargate 7777  galaxy georgia ・・・・

 

この攻撃者はadmというログイン名を用いて、辞書に載っているような単語を総当りで当てはめています。

 

攻撃者が用いたログイン名 admin

パスワード gfhjkm 111 147258369 666666 abc1234 qweqwe

 

この攻撃者はadminというログイン名で、連続した文字列や、ランダム数値などを当てはめて攻撃しています。

 

他、攻撃者が用いたログイン名としては、root administratorとあり、上の4つのログイン名でアタック全体の9割を占めています。

このことから推測すると、ログイン名はadm、admin、adoministrator、rootの4つは避けること。文字数は少なくとも8文字以上、そして、連続した数値や文字列は避けること、というよく言われる話が真であるとわかります。

 

 

 

LINEで送る
Pocket

こんな記事も読まれています