こんにちは、EPoch IT 部の坂田です。
今、世界規模で Wordpress サイトに対するクラッキングが
Global WordPress Brute Force Flood | HostGator Web Hosting Blog | Gator Crossing
http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/
ブルートフォースアタック (Brute Force Attack) と呼ばれる手法で、
ウィルス等に感染した世界中のパソコンを駒として利用し、
数万台の端末から色々なパスワードでログインを試みます。
これなら高性能なパソコンが無くても、
1 秒間で数万通りのパスワードを試すことが出来ます。
Wordpress や EC CUBE、Movable Type など、
世の中に有名な CMS (Contents Management System : コンテンツ管理システム) は色々あります。
基本的には CMS というものは、
自前でシステムを用意するのが技術的または時間的に難しい方が
手軽で簡単にシステムを利用出来るようにするためのものです。
あまり技術的なことを知らないユーザが、
Wordpress を始めとする CMS を自分でインストールした場合、
往々にしてセキュリティ的に甘い状態になっていることが多いです。
例えば、Wordpress で作られたサイトの場合、
URL に /wp-admin/ と付け足せば、大抵はログイン画面が表示されます。
Wordpress を使うユーザなら周知の事実です。
そしてログイン ID が大抵は admin になっています。
しかも、下記のページに載っているような
脆弱なパスワードが使われている場合も多いです。
Revealed: The most common passwords used online in the last year (and password STILL tops the list) | Mail Online
http://www.dailymail.co.uk/sciencetech/article-2223197/Revealed-The-common-passwords-used-online-year-password-STILL-tops-list.html
デフォルト設定のままインストールしていたり、
パスワードを複雑なものにしていないと、
いとも簡単に悪意のあるユーザにログインされてしまいます。
Wordpress を利用している方は、
下記のサイトの記事を読んでおかなければなりません。
【WordPress全ユーザー必読】最近のWPサイトに対する猛アタックの詳細と対策 | SEO Japan
http://www.seojapan.com/blog/wordpress-attack
そして、これは Wordpress に限ったことではありません。
CMS を使っている以上、管理画面のログイン URL が
多くの人に知られてしまっているような状態です。
技術的な知識があれば、ログイン画面の URL を変えたり、
IP アドレスを制限したりすることもできますが、
それが叶わない場合は、ID とパスワードに気をつけるしかありません。
下記のようなツールを使って、
なるべく長く複雑なパスワードを設定するようにしましょう。
ランダム文字列作成 CGI's
http://www.cgis.biz/tools/random/