• 最近、クライアントのwordpressサイトがブルートフォース攻撃をされております。
    「Login Security Solution」を入れているのと、「狂骨」で見た所
    ログイン履歴に不審なものがないため、今の所大丈夫かと思います。

    ただ、「Login Security Solution」でメール通知の設定をしているため
    頻繁にメールが届いてしまい、クライアントを不安にさせてしまいました。
    実際に攻撃を受けているため、メール通知をOFFにするのは違うと思いました。

    そこで、ブルートフォース攻撃を防ぐ決定的な方法はございますでしょうか?
    私としては、「wp-login.phpは、国内IPからのアクセスのみ承認する」
    しか思いつきませんでした。
    http://memocarilog.info/wordpress/6787

    何か他に策がございましたらご教授願いたいです。
    よろしくお願い致します。

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • CAPTCHAをプラグインで入れるのはいかがですか。

    こんな記事がありました。
    http://yusukexp.com/wordpress/security/brute-force-attack/

    wp-admin内にhtaccessを設置するのが現実的かもしれないです。
    http://memocarilog.info/wordpress/4483

    ワードプレスルートと違い、htaccessがもともと設置されてない為
    レンタルサーバーであれば、サーバーの管理パネルからも設置が可能です。

    設置の際は、ワードプレスをまるごとバックアップとることをお勧めします。

    トピック投稿者 akanez

    (@akanez)

    >>gblsmさま

    ご回答ありがとうございます。

    CAPCHAを入れても、ログインボタンを押されると
    「Login Security Solution」のエラーメールが届きそうでな気がしました。

    >>mura0403さま

    ご回答ありがとうございます。

    実は、ベーシック認証はかけているのですが、
    破られているのか、ログイン画面までは表示されているみたいです…

    ベーシック認証の情報が洩れるなどあり得るのでしょうか?
    IDとPASSはかなりややこしいものにしております。

    よろしくお願い致します。

    akanezさん

    htaccessが通るとなると
    データがパススルーな感じでボットが攻撃してるんですかね。

    ちなみに、ログインする環境のIPは固定でしょうか?
    固定であれば、gatespaceさんのブログなど参考になるかもしれません。
    http://gatespace.jp/2013/05/21/wp-admin-access-restriction-ver3-5-1/

    すみません、自分の知識ではIP制限くらいしか思いつかず。。。。
    ボット対策の画像認証させるとか、3段目を設けるなどセキュリティ的には強化ですが
    メールはくる可能性ありますもんね。

    あとは、ワードプレスではなく
    サーバーの方になってしまんですかね。

    もし、海外からの攻撃が多いようでしたら
    サーバー会社に制限かけて頂くのも手段かもしれません(サーバー会社次第にはなってしまいますが)

    全然、解決に導ける回答が出せずにすみません。

    村松

    モデレーター Daisuke Takahashi

    (@extendwings)

    まず、「ブルートフォース攻撃を防ぐ決定的な方法」というのは存在しませんのであきらめてください。認証画面というものが存在する以上、『決定的』というのは無理です。

    IPアドレスから国名は割り出せるといえば割り出せますが、それをもとに制限を行うと、様々な面で不都合は当然出てきます。(例: Chromeの「Data Saver」機能など)

    これらを前提として、現実的なところとしては
    1. 「Jetpack」というプラグインの「Jetpack Protect」という機能を使う。
    この機能を有効にしているサイト間で不審な認証試行を行うのIPアドレスのデータベースを共有し、そのIPアドレスからは一切ログインを受け付けないようにするものです。

    • メリット: 自サイトが攻撃を受ける前に他サイトからの情報を利用できる
    • デメリット: ログインに失敗し続けたときに自分が締め出される可能性(IPアドレス単位で除外設定はできますが。)

    2. 多要素認証の導入
    これらのプラグインなどを利用して、多要素認証を採用する。

    • メリット: ユーザ名とパスワードが漏洩した場合においても、ログインされない可能性が高い
    • デメリット: 内容は方法によりますが、「スマートフォンが必要」「専用デバイスが必要」「メールボックスの確認が必要」などの制約がほぼ確実につく

    こんなところでしょうか。これ以上が必要であれば「OSレベルでの対策」等も選択肢としてはありでしょう。

    サーバー管理者(OSレベルの対応)じゃないと対処不能な方法ではありますが、もしそれが可能なら(占有サーバー等)、fail2banを利用した OSのFIREWALLによる自動ブロックもあります。

    ブルートフォース攻撃(WordPress Codex日本語版)にも紹介されています。

    1. WP fail2banプラグイン + fail2banによるOSのFIREWALLによる自動ブロック

    参考:http://www.teradas.net/archives/16956/

    2. BASIC認証に対して fail2banによる自動ブロック(短期間に何度も失敗したらブロック)
    参考:
    nginx: http://blog.jicoman.info/2014/03/fail2ban_nginx-http-auth/
    apache: http://www.sys-guard.com/yuu_linux/34-01.php

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • トピック「ブルートフォース攻撃の対策」には新たに返信することはできません。