WPScanでブルートフォースアタックをした結果分かったこと

WPScanでWordPressの脆弱性をスキャンの続編になります。結論からいうと、当サイトを軽くブルートフォースアタックしてみた結果、WordPressの侵入を防ぐには「ログインURLを変更するのが最強」だということが分かりました。

尚、他者がこういったツールで当サイトの情報を調べると「不正アクセス禁止法」によりパトカーがお宅を訪問するかもしれませんで止めてください。お願いします。

警察庁サイバー犯罪対策:統計

ブルートフォースアタックのための準備

まずは、パスワードを列記したテキストファイルを用意し、Kali Linuxのデスクトップに配置します。

方法は色々とありますが、Kali Linuxを使う場合は搭載されている「Crunch」でパスワードリストを作るのが最も簡単です。Kali Linuxを開いたら以下のコマンドをコピペ→エンターキーを押すと、小文字4文字までのテキストファイルを出力することができます。

crunch 1 4 -o pass.txt

Crunchの後に続く数値は文字数を現わしており、-oで自動的にテキストファイルが作成されます。

数字を組み合わせたい場合のコマンド。

crunch 1 4 0123456789 -o pass.txt

4文字までの数字と小文字の組み合わせ。

crunch 1 4 abcdefghijklmnopqrstuvwxyz0123456789 -o pass.txt

1~4桁程度の小文字だけのファイルであれば直ぐに作成されます。

開いてみるとこんな風にズラズラと文字が並んでいました。

しかし、1~10桁ともなるとデータの容量はなんと1PB!ペタバイトは初めてみたかも。一般的には作成するのは難しいかと思います。

「pass.txt」はFile Managerの「kali」に保存されていました。

ブルートフォースアタック

このコマンドで当サイトのパスワードを解析してみます。尚、https://ドメインの部分はIPでも可能です。

wpscan --url https://ドメイン -e u --passwords pass.txt

または、以下のコマンドでもOK。

wpscan --url http://ドメイン --passwords pass.txt

結果、このように表示されました。

Could not find a login interface to perform the password attack against

「パスワード攻撃を実行するためのログインインターフェイスが見つかりませんでした」

つまりは「ログインできる場所が見つからない!」ということ。

それと、その下の段にはこのように表示されていました。

No Valid Passwords Found.

よって、WordPressのログインURLを変更して404エラーで返す方法は、サイトの侵入を防ぐ最も効果的な方法と言えます。

後書き

WordPressだけではなく、WindowsもKali Linuxを使ってブルートフォース攻撃で侵入することができます。

また、世の中には「辞書攻撃」というものもあり単語も標的となっています。

なので、単語などをパスワードに使うのはダメですね

最後に、2020年の強度が低いけど良く使われているパスワードランキングはこちら→List of the most common passwords – Wikipedia

1123456
2123456789
3picture1
4password
512345678
6111111
7123123
812345
91234567890
10senha
タイトルとURLをコピーしました