WordPressの不正ログイン

本日も約6時間ほど不正ログインの攻撃がありました。
手順は以下のようです。

1)ログインURLを知る
2)ユーザ名を知る
3)複数のパスワードでログインを試みる

1)ログインURLを知る
 WordPressのログイン画面のURLを取得していますね。
 単純に「/wp-login.php」にアクセスし、リダイレクト後のログインURLを取得しています

188.126.80.48 - - [05/Dec/2015:06:21:22 +0900] "GET /wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"  
188.126.80.48 - - [05/Dec/2015:06:21:23 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 200 3180 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"  

2)ユーザ名を知る
 WordPressのサイトに「/?author=1」という引数でアクセスしてユーザIDを取得します。
 今回は wp_administrator が取得されてしまいました。
 こちらは WordPress の”仕様”なので隠しようがありません。
 なお、WordPressだけのログイン防止であれば、
 「SiteGuard WP Plugin」とか「Jetpack」などのプラグインを導入する方が良いでしょう。

188.126.80.48 - - [05/Dec/2015:06:21:24 +0900] "GET /?author=1 HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"  
188.126.80.48 - - [05/Dec/2015:06:21:24 +0900] "GET /author/wp_administrator/ HTTP/1.1" 200 77935 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"  

3)複数のパスワードでログインを試みる
 取得ユーザID(wp_administrator)で、用意しておいたパスワードでログインを試みます。
 30秒〜1分程度間隔で試行してますね。

188.126.80.48 - - [05/Dec/2015:07:03:52 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 200 3180 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"  
188.126.80.48 - - [05/Dec/2015:07:05:34 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
188.126.80.48 - - [05/Dec/2015:07:06:16 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
188.126.80.48 - - [05/Dec/2015:07:08:36 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

: この間、400回のログイン試行

188.126.80.48 - - [05/Dec/2015:12:24:41 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
188.126.80.48 - - [05/Dec/2015:12:29:10 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

 
doshelperにより最初のログイン試行以外は、すべてレスポンスコード 403 で弾いてます。

みなさん、他のサイトで試しちゃダメですよ。

doshelper はフリーで公開しているので、どうぞお試しください。
https://github.com/kurosawatsuyoshi/doshelper

コメントを残す

メールアドレスが公開されることはありません。