昨今ハッキング改ざんされたサイトで管理者権限のユーザーのパスワードに一定の傾向がある場合が増えてきていることから、この傾向からワードプレスの管理者のパスワードとして使用してはいけない文字列について解説いたします。
ブルートフォースアタックが高度化してきている
ブルートフォースアタックとは、不正なソフトウェアを使い、よく使われるパスワードで次から次に(時には数十万回)ワードプレスにログイン施行して管理者権限のパスワードを割り出すハッキング手法です。
これまでのブルートフォースアタックは、よく使われるパスワードの辞書を使い、ログイン施行を繰り返すのですが、最近では、さらに複雑なアルゴリズムが加えられている可能性があります。
最近WPドクターにマルウェア駆除をご依頼いただくサイトのパスワードに一定の傾向がある場合が複数回確認されています。例えば下記のようなパスワードを使用されている例がございます。
例
管理者権限ID mywp-admin パスワード mywp-admin1234
この管理者権限のパスワードは管理者のIDを含むものとなっており、長さは十分であるものの管理者権限のIDをパスワードから取り除くと1234というわずか4文字の極めて脆弱なパスワードになってしまいます。
ワードプレスの管理者IDは簡単に取得できます(ワードプレスはIDを隠さないシステムです)ので、ブルートフォースアタックの不正プログラムが例えば下記のような文字列でもログイン施行を繰り返すアルゴリズムを搭載している場合、ごく短期間で管理者のパスワードがクラックされてしまいます。
アルゴリズムの例
ワードプレスの管理者ID+よく使われるパスワード
でブルートフォースアタック
ワードプレスの管理者権限には居力なパスワードを設定します
ワードプレスがハッキングされてしまう理由の2割前後はパスワードの脆弱性といわれており、ハッキングツールも日々進化していますので、ブルートフォースアタックに様々なアルゴリズムが搭載されてきている可能性があります。
この為、ワードプレスの管理者権限のパスワードには管理者のユーザーIDやメールアドレス等を含まない、12文字以上の大文字小文字記号数字を一つ以上含む完全なランダムなパスワードにされることをお勧めいたします。
このようなパスワードは突破するのに原理的に2100万年かかることからハッカーのブルートフォースアタックが成功することは無くなります。
マルウェアにサイトが感染してしまったら、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] をご利用くださいませ。
またマルウェア感染が手におえないと思ったら早めに専門家にマルウェア駆除やセキュリティー対策のご相談・ご依頼いただくことをお勧めいたします。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策の専門家WPドクターまでお気軽にご依頼・ご相談お送りください
