いろんなサイトやアプリケーションで、IDとパスワードを使いまわしている方も多いですよね。

パスワードリスト攻撃とは、そういってどこかで流出したパスワードで他のサービスにまで不正にログインされ、内部情報を盗まれたり、内容を改ざんされたりすることを言います。

とても単純な攻撃方法ですが非常に多くみられるアクセス方法です。

またログイン自体は適切に行われていることが多いため、セキュリティの警告を発生させずに不正利用される危険性があります。

対策方法

この攻撃方法は、とても簡単に対策をすることが出来ます。

それは『サービスごとに使用するIDとパスワードを変える』ことです。

また悪意あるユーザが推測しにくいパスワードを設定することも大事なので、誕生日や電話番号などをパスワードとして使用しないようにすることも大事です。

DoS攻撃は、俗に『F5アタック』と呼ばれる「特定の人物がサーバーに過度のアクセスを行い、サーバの稼働を妨害する」形のものが主流です。

また、DDoS攻撃と呼ばれる、不特定多数で同様の不正アクセスを行い、サーバーをダウンさせるような攻撃もあります。

対応方法

この攻撃は、単にアクセスしたユーザが画面を更新し続けていることもあるため、非常に対応が難しくなっています。

WordPress側の設定で対応できることとしては、REST API経由で過度なアクセスがくる場合もあるので『Disable REST API』を導入するのはある程度の効果があります。

それ以外だと、サーバー側の設定で過度なアクセスを行うIPアドレスをブロックすることも可能です。

コチラはプラグインではなくWordPressを公開しているサーバーから確認、設定出来るので、まずは『○○（サーバー名） DoS攻撃 対応』のように検索し、調べてみてください！

誰でも一度は、Webサイトのパスワードが分からなくて、それらしい文字を何度も試したことってありますよね。

ブルートフォース攻撃は、まさにそのように適当なパスワードを繰り返し入力することで、総当たり的に正しいパスワードを当てようという攻撃のことを言います。

何かしらのプログラミングを使い数千・数万のパスワードを試すこの方法は、例えば "0000" のようなパスワードを使用していた場合、一瞬で突破されてしまいます。

対応方法

まず、『簡単なパスワード』『ほかのサービスでも使用してるパスワード』は、すぐさま変更するのが良いです。

具体的には、『v+wA$n,J5!wt』『hVuV_cHeJ2C5』のような大文字・小文字・記号・数字が全て含まれていて、8文字以上あるものがGood！

もし思いつかない場合は、パスワードを自動で生成してくれるサービスもありますので、参考にしてもいいかもしれません。

また、繰り返しパスワードの入力を間違えた場合に、一時的にアカウントをロックする方法があります。

これには『SiteGuard WP Plugin』と言うプラグインがお勧めです。

ぜひとも導入しておきましょう！