WPScanでWordPressの脆弱性をスキャンの続編になります。結論からいうと、当サイトを軽くブルートフォースアタックしてみた結果、WordPressの侵入を防ぐには「ログインURLを変更するのが最強」だということが分かりました。
尚、他者がこういったツールで当サイトの情報を調べると「不正アクセス禁止法」によりパトカーがお宅を訪問するかもしれませんで止めてください。お願いします。
ブルートフォースアタックのための準備
まずは、パスワードを列記したテキストファイルを用意し、Kali Linuxのデスクトップに配置します。
方法は色々とありますが、Kali Linuxを使う場合は搭載されている「Crunch」でパスワードリストを作るのが最も簡単です。Kali Linuxを開いたら以下のコマンドをコピペ→エンターキーを押すと、小文字4文字までのテキストファイルを出力することができます。
crunch 1 4 -o pass.txt
Crunchの後に続く数値は文字数を現わしており、-oで自動的にテキストファイルが作成されます。
数字を組み合わせたい場合のコマンド。
crunch 1 4 0123456789 -o pass.txt
4文字までの数字と小文字の組み合わせ。
crunch 1 4 abcdefghijklmnopqrstuvwxyz0123456789 -o pass.txt
1~4桁程度の小文字だけのファイルであれば直ぐに作成されます。
開いてみると、このようにズラズラと文字が並んでいました。
しかし、1~10桁ともなるとデータの容量はなんと1PB!ペタバイトは初めてみたかも。
一般的には作成するのは難しいと思います。
「pass.txt」はFile Managerの「kali」に保存されていました。
ブルートフォースアタック
このコマンドで当サイトのパスワードを解析してみます。尚、https://ドメインの部分はIPでも可能。
wpscan --url https://ドメイン -e u --passwords pass.txt
または、以下のコマンドでもOK。
wpscan --url http://ドメイン --passwords pass.txt
結果、このように表示されました。
Could not find a login interface to perform the password attack against
「パスワード攻撃を実行するためのログインインターフェイスが見つかりませんでした」
つまりは「ログインできる場所が見つからない」ということ。
それと、その下の段にはこのように表示されていました。
No Valid Passwords Found.
よって、WordPressのログインURLを変更して404エラーで返す方法は、サイトの侵入を防ぐ最も効果的な方法と言えます。
後書き
WordPressだけではなく、WindowsもKali Linuxを使ってブルートフォース攻撃で侵入することができます。
また、世の中には「辞書攻撃」というものもあり単語も標的となっています。
なので、単語などをパスワードに使うのはダメですね
List of the most common passwords – Wikipedia(良く使われているパスワード一覧)
