現在作業しているのは、あるサイトのWordPressのサイトの不正アクセスに関してですが、今回、改めて、セキュリティの重要性と難しさを痛感しました。
また、いくつも再認識させられた点があります。
その一つが、最近では無意識になっていた、ユーザー名です。
昨日、外付けHDDのデータが一瞬に消えてなくなった、ということを書きましたが、今日は、いっそのこと、この外付けHDDをフォーマットしなおして使用しよう、と思いました。
ところが、管理画面に正しいと思っていたユーザー名とパスワードを入力したのに、ログインができないのです。
理由は、ユーザー名の大文字と小文字を間違っていたからでした。
ここで、再認識させられた、というのは、ユーザー名についてです。
パスワードについては、どんな場合でも、大文字と小文字の区別が必要ですよね。
ところが、ユーザー名については、ある場合には、大文字と小文字の区別が不要だったり、今回のように区別が必要な場合がある、ということなんてす。
身近なところでは、Windowsのパソコンの場合は、パソコンにログインする際のユーザー名って、大文字と小文字は、区別しなくてもログインできますよね。
そして、毎日使用しているWordPressもまた、大文字と小文字の区別はありません。
そうなんです!
今回、なぜ、わざわざ、このユーザー名のことを書いているのか、というと、今回のWordPressの不正アクセスに対する重要な対策にかかわることだからです。
WordPressを以前から利用していて、インストールに携わったことがある人なら、WordPressのインストールの最初に設定するデフォルトの管理者ユーザー名って、「Admin」だった、ということを憶えていると思います。
ところが、最近は、ユーザー自身で任意のユーザー名を入力するようになっていて、「Admin」は、使わないようにしているはずです。
とはいえ、とりあえずは、管理者なので、「admin」で設定しておこう、と考える人もいるはずです。
しかし、ユーザー名に「admin」を使うことは、とても危険です。
というより、今回の一連の作業で思ったのは、絶対に使ってはいけないし、もしも、すでに使っているとしたら、早急に変更するべきだ、ということです。
この理由はなぜか、というと、WordPressをインストールしているサーバーのアクセスログを見るとわかるのですが、ものすごい数のアクセスが集中して記録されていることがあります。
その中味は、「admin」のユーザー名で無差別にパスワードを入力して、不正アクセスを試みているからです。
そして、WordPressのユーザー名は、大文字と小文字の区別が必要ない、ということは、不正アクセスを試みる側からすると、ユーザー名は、「admin」に絞って、あとは、無差別にパスワードだけをランダムに入力していけばすむ、ということなんです。
もしも、ユーザー名が大文字と小文字の区別が必要ならば、同じ「admin」でも、通常は、「admin」「ADMIN」「Admin」の3通りあります(他にもありえますが)。
すると、各ユーザー名とパスワードの組み合わせは、3倍になりますが、WordPressでは、「admin」だけでいいわけです。
これに、簡単なパスワードを設定していたら、それは、管理者権限を盗むのは、容易なはずだ、と改めて気づいたわけです。
ここに書いた件は、セキュリティに詳しい人や、ベテランの方にとっては、何をいまさら、当たり前の内容だ、というかもしれません。
しかし、私にとっては、大発見といえるくらいの気づきでした。
今回の件をまとめると、WindowsやWordPressのようにユーザー名が大文字と小文字の区別が必要ない場合には、セキュリティの敷居は、とても低くなっている、という点を肝に命じておくべきだ、ということです。
ちなみに、今回の外付けHDDは、ユーザー名の先頭が小文字だったのに、大文字にしたために、ログインできませんでした。
もしも、大文字と小文字の区別がなければ、スムースにログインができました。
逆に、大文字と小文字の区別があるだけで、ログインするための敷居がぐっとあがる、ということです。
ただ、どんな場合であっても、パスワードについては、無差別に入れられてもヒットしにくい文字列にしておく必要はある、ということですね。
