米国 WordPress の開発者 Matt Mullenweg 氏は、同社のブログ ソフトウェア「WordPress」を使用しているサーバーへ大規模な不正ログイン攻撃が行われていることを、公式ブログで発表した。

同ブログによると、今回の攻撃では、ユーザーネーム“admin”で管理されるアカウントに対して、無作為にパスワードを試し、力づくで侵入しようとしているという。このような攻撃手段は“Brute Force(ブルートフォース)”と呼ばれ、辞書ツールを用いてあらゆる文字の組み合わせで総当たりをかけるもの。予測されやすい英単語や、数字のみのパスワードでは、容易に突破される危険性がある。また、この攻撃を仕掛けているボットネットには9万件以上の IP アドレスがあり、1秒ごとに異なる IP で攻撃し続けるという。

同氏はこの件に関する最も有効な対策として以下のように述べている。

「まだユーザーネームに admin を使用している人は速やかに変更し、パスワードも複雑化してほしい。さらに、WordPress の設定を二段階認証にし、WordPress を最新バージョンへアップグレードしてほしい」

また、ホスティングプロバイダの米国 hostgator は公式ブログ上で、この攻撃は4月上旬をピークに徐々に沈静化しつつあったが、4月11日頃から再び激しさを増しており、いつ終息するかは不明だと懸念している。

なお、犯人の目的についてインターネットセキュリティー企業の米国 CloudFlare では、以下の見解を示す。

「今回の攻撃の1つの特徴としては、犯人は比較的性能の低い家庭用 PC のボットネットを使用していることがある。これは、より強固なサーバーで大きなボットネットを作り、次の攻撃に備えるためだ」

現在、WordPress の公式ブログ上では本件に関する記述や被害についての公表はないが、前述のホスティングプロバイダ各社などでは、今後も随時情報を明らかにしていくという。