このブログのアクセス状況を見てみて驚いた。
この数日、めちゃくちゃアクセスが増えている。これは何だ? 調べてみると「/wp-login.php」に数秒あるいは数十秒に一回アクセスされている。
「/wp-login.php」というのはWordPressのログインページで、ここでログインIDとパスワードを入力して、管理画面に入れるようになっている。調べてみるとどうやらこれは「ブルートフォース攻撃」らしい。
さらに調べるとここのサイトには「ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法で、文字通り総当たりの攻撃です」と書かれている。へえ〜、ログインパスワードの組合せを次々に変えて、こじ開けようとしているってことか。
怖い怖い。このサイトにもあるけど、対策として「SiteGuard WP Plugin」を使えと書いてある。もちろん、ぼくはこれはすでにインストール済み。さらには「Login LockDown」というプラグインも入れてある。
それ以外にもパスワードは、大小英数字、記号を組合せて、11桁にしている。これはどれくらいの組合せになるかというと、
「英字(大小区別)+数字+記号34文字」で10桁でも「6648京3263兆5991億5010万4576」という数になる。11桁ならもう、想像ができない気絶するほどの数だよね (@_@)
そして、8桁の96の文字数だとして、スーパーコンピュータでも83.5日かかるそうだ。(Wikipedia 総当たり攻撃)
| 使用する文字の種類 | 使用できる 文字数 |
低速PC (Pentium 100MHz) |
高性能PC (当時) |
コンピュータ・クラスター 又は、ワークステーション |
スーパーコンピュータ |
|---|---|---|---|---|---|
| 6桁の大小いずれかの英字だけのパスワード | 26 | 5分間~8.5時間 | 30秒 | 3秒 | 瞬間 |
| 8桁の大小英数字を含むパスワード | 62 | 7年~692年 | 253日 | 25.25日 | 60.5時間 |
| 8桁の大小英数字および記号を含むパスワード | 96 | 229年~2万2875年 | 23年 | 2.25年 | 83.5日 |
ま、これはあくまでも数字の世界のことで、とりあえず今はできる対策はすでに打ってあるけど、この先はまだまだいろんな攻撃をしかけてくるんだろうなあ。ふんとに、腹が立つねえ。?