WoredPressの管理アカウントは「admin」?

米セキュリティ機関のUS-CERTは4月15日、オープンソースのブログツール「WordPress」を狙った攻撃が続いているとして注意を呼び掛けた。

US-CERTによると、攻撃者は「admin」のユーザーネームと、総当たり方式のブルートフォース攻撃で見つけ出したパスワードの組み合わせを使って、Webサイトの管理用パネルを制御しようとしているという。

WordPress狙う大規模攻撃が発生、管理者アカウントを標的に – ITmedia ニュース

確かにデフォルトのadminのままだとセキュリティ上好ましくないと思ってたのだけど、このような攻撃が行われているようだ。

いまさらだが、管理者の名前をadmimから変更しておくことにした。

ちなみに管理者でログイン後、直接変更することは出来ないので、

  1. 新規ユーザ(管理者権限)作成
  2. 管理者のプロフィールを新規ユーザに書き写す(プラグインの設定など)。
  3. 元の管理者を削除(その際に「すべての投稿とリンクを次のユーザーに割り当てる」にチェックを入れる)。

の手順で変更する必要がある。

ブルートフォースアタックで仮にここのサイトをクラックしようとしても、あまり現実的でないと思うけどね。

総当たり攻撃 – Wikipedia

「4 パスワード長と解読時間の関係」を見る限り、少なくとも何十日も時間を掛けた労力と、得られるものが割に合わない。

参考

コメントを残す