最近、WordPressで構築されたウェブサイトをターゲットとしてボットネットワークによる総当り攻撃が問題になっています。
この攻撃の特徴として、過去のバージョンのWordPressにおいて標準の管理者アカウントであった「admin」ユーザを狙い撃ちにしている模様。
しかし、WordPressに対する総当り攻撃は、WordPressが設置されているサーバに対するリクエストが必要になるため、攻撃対象のWordPressが設置されているサーバの処理能力や攻撃対象のその他の環境にも依存する事から、時間あたりの試行可能回数の制限が非常に大きいため、パスワードの文字数を増やしたり、英数字混在にしたり、管理ユーザを「admin」から別のユーザ名に変更しておくことで、脅威を大幅に縮小する事が出来ます。
が、以下のような対策を取る事で更にセキュリティを強化する事が可能です。
wp-adminディレクトリにアクセス制限を設ける
運用次第ですが、基本的には管理画面に閲覧者(ゲスト)がアクセス可能である必要はないので、可能であればwp-adminディレクトリにアクセス制限を設けましょう。
IPアドレスやリモートホストで管理画面へのアクセスを制限する
order deny,allow deny from all allow from IPアドレスまたはリモートホストの後方部分
上記のような .htaccess をwp-adminディレクトリに配置しましょう。
管理画面にアクセスする必要の有る人間が、常に固定IPアドレスで管理画面にアクセスするのであれば、IPアドレスによるアクセス制限が有効ですが、多くのWordPressユーザはそうではないと思うので、リモートホストによる制限を推奨します。
ISPから割り当てられるIPアドレスが接続毎に変わる場合でも、リモートホストの後方部分は毎回同じである事が多いです。
例えば、OCNなら「.ocn.ne.jp」などを設定しておけば良いと思います。
許可範囲が広くなってしまいますが、あくまでボットネットワークを用いたWordPressに対する総当り攻撃の成功率を下げるという話であれば、十分効果があると思います。
管理画面へのアクセスを国内のみからに制限する
管理画面にアクセスする必要のある人間が複数存在する場合は、管理画面へのアクセスを日本国内のみからに制限するのも良いかもしれません。
許可範囲が広くなりますが、やらないよりはマシです。
こちらから、国内のIPアドレスからのみアクセスを許可するhtaccessが取得出来るので、それをwp-adminディレクトリに配置すると良いと思います。
ベーシック認証などで管理画面へのログインを二重に制限する
ベーシック認証やダイジェスト認証などで管理画面へのアクセスを制限し、ワンクッション置くことで管理画面へのログインを二重に制限するのも良いかもしれません。
プラグインを利用する
Login Security Solutionなどのプラグインを利用する事で、一定回数ログインに失敗した場合に一定時間ログイン出来なくするといった事が可能です。