CAPTCHAをプラグインで入れるのはいかがですか。
wp-admin内にhtaccessを設置するのが現実的かもしれないです。
http://memocarilog.info/wordpress/4483
ワードプレスルートと違い、htaccessがもともと設置されてない為
レンタルサーバーであれば、サーバーの管理パネルからも設置が可能です。
設置の際は、ワードプレスをまるごとバックアップとることをお勧めします。
>>gblsmさま
ご回答ありがとうございます。
CAPCHAを入れても、ログインボタンを押されると
「Login Security Solution」のエラーメールが届きそうでな気がしました。
>>mura0403さま
ご回答ありがとうございます。
実は、ベーシック認証はかけているのですが、
破られているのか、ログイン画面までは表示されているみたいです…
ベーシック認証の情報が洩れるなどあり得るのでしょうか?
IDとPASSはかなりややこしいものにしております。
よろしくお願い致します。
akanezさん
htaccessが通るとなると
データがパススルーな感じでボットが攻撃してるんですかね。
ちなみに、ログインする環境のIPは固定でしょうか?
固定であれば、gatespaceさんのブログなど参考になるかもしれません。
http://gatespace.jp/2013/05/21/wp-admin-access-restriction-ver3-5-1/
すみません、自分の知識ではIP制限くらいしか思いつかず。。。。
ボット対策の画像認証させるとか、3段目を設けるなどセキュリティ的には強化ですが
メールはくる可能性ありますもんね。
あとは、ワードプレスではなく
サーバーの方になってしまんですかね。
もし、海外からの攻撃が多いようでしたら
サーバー会社に制限かけて頂くのも手段かもしれません(サーバー会社次第にはなってしまいますが)
全然、解決に導ける回答が出せずにすみません。
村松
まず、「ブルートフォース攻撃を防ぐ決定的な方法」というのは存在しませんのであきらめてください。認証画面というものが存在する以上、『決定的』というのは無理です。
IPアドレスから国名は割り出せるといえば割り出せますが、それをもとに制限を行うと、様々な面で不都合は当然出てきます。(例: Chromeの「Data Saver」機能など)
これらを前提として、現実的なところとしては
1. 「Jetpack」というプラグインの「Jetpack Protect」という機能を使う。
この機能を有効にしているサイト間で不審な認証試行を行うのIPアドレスのデータベースを共有し、そのIPアドレスからは一切ログインを受け付けないようにするものです。
- メリット: 自サイトが攻撃を受ける前に他サイトからの情報を利用できる
- デメリット: ログインに失敗し続けたときに自分が締め出される可能性(IPアドレス単位で除外設定はできますが。)
2. 多要素認証の導入
これらのプラグインなどを利用して、多要素認証を採用する。
- メリット: ユーザ名とパスワードが漏洩した場合においても、ログインされない可能性が高い
- デメリット: 内容は方法によりますが、「スマートフォンが必要」「専用デバイスが必要」「メールボックスの確認が必要」などの制約がほぼ確実につく
こんなところでしょうか。これ以上が必要であれば「OSレベルでの対策」等も選択肢としてはありでしょう。
サーバー管理者(OSレベルの対応)じゃないと対処不能な方法ではありますが、もしそれが可能なら(占有サーバー等)、fail2banを利用した OSのFIREWALLによる自動ブロックもあります。
ブルートフォース攻撃(WordPress Codex日本語版)にも紹介されています。
1. WP fail2banプラグイン + fail2banによるOSのFIREWALLによる自動ブロック
参考:http://www.teradas.net/archives/16956/
2. BASIC認証に対して fail2banによる自動ブロック(短期間に何度も失敗したらブロック)
参考:
nginx: http://blog.jicoman.info/2014/03/fail2ban_nginx-http-auth/
apache: http://www.sys-guard.com/yuu_linux/34-01.php