先週から、WordPressに対するボットネットによるブルートフォースアタックがニュースにあがっています。
いくつかのサーバ会社では、国外からのIPに制限をかけたりなど対策されているようですが、
WordPress開発者で産みの親であるMattのブログでは以下のように対策があげられています。
1)ユーザーネームが「admin」の場合や速やかに変更する
2)強力なパスワードに変更する
>12 か 16 文字以上にする
>真ん中あたりに数字をまぜる
>&, $, and % を混ぜる
>パスワードジェネレーターを使う
・http://keepass.info/
・http://simplestrongpasswordgenerator.com/
3)WP.comでブログを使用している場合は二段階認証にする
4)WordPressを最新バージョンに保つ
これだけで99%は安全に保たれる、と書かれています。
現在出回っているボットネットは主に「admin」ユーザー名を狙って一般的なパスワードを使い大量のログインを試みるようです。
※上記参照元:http://ma.tt/2013/04/passwords-and-brute-force/
またアタックされているIDは以下が最も多いものとなっています。
652,911 [log] => admin
10173 [log] => test
8992 [log] => administrator
8921 [log] => Admin
2495 [log] => root
アタック元の主なIPも公開されていますので参照ください。▼
出典元:Mass WordPress Brute Force Attacks? – Myth or Reality
※パスワード設定に関するさらなる詳細は以下参照
http://en.support.wordpress.com/selecting-a- strong- password/
WordPressでサイトを運営されている方はお時間ある時に、以下WordPressのCodexにあるセキュリティの章を一読いただければなおいいでしょう。