web-dev-qa-db-ja.com

どうすればブラックリストまたはレート制限WordPressログイン試行)できますか?

パブリックにアクセス可能なWordPressサイトを構成して、ログインに3回失敗した後にIPをブラックリストに登録するか、何らかの方法でセキュリティをさらに強化したいと思います。

誰かがこれを行うための最良の方法を私に提供できますか?

前もって感謝します!

このサイトは、CentOSのLAMPスタックで実行されています。

2
Windows Ninja

Wordpressサイトの場合、私が使用しているプラ​​グインがいくつかあります。これらはすべて、Wordpressのプラグインインストーラーからアクセスできます。

ログインロック強力なパスワードポリシーを適用し、ログイン試行を監視し、失敗したログイン試行が多すぎる場合はIPアドレスをブロックします。

ステルスログインログイン、ログアウト、およびWordPressブログ)に登録するためのカスタムURLを作成します。

ThreeWPアクティビティモニターユーザーアクティビティを追跡するプラグイン。ネットワーク対応。

別の良いシステムは、CloudFlareまたは同様のものです。これまでのところ、CloudFlareはDNSをホストしているので気に入っています。それはあなたのウェブサイトを管理することをより簡単にします。交通量と速度の統計がわかりません。私のウェブサイトはトラフィックが少ないので、私には関係ありません。これまでのところ、私の経験は大丈夫です。 Wordpress用のCloudFlareプラグインがあり、Webサイトにログインしようとする実際のIPアドレスを確認できます。プラグインが必要です。そうでない場合、すべての攻撃はCloudflareのIPからのものであるように見えます。アドレス。

CloudFlare CloudFlareは、ブログをCloudFlareプラットフォームと統合します。

3
Ross

http://www.fail2ban.org は私の個人的なお気に入りです。ログファイルを監視し、アクティビティに基づいてスクリプトを実行するようにプログラムします。

具体的には、Fail2BanにWP失敗した試行の認証ログを監視させ、ファイアウォールレベルでこれらのIPを数分間禁止するだけです。これをすべての公開サーバーで実行します/サービス。

私の場合、10回の不正なログイン=> 10分のファイアウォールブロック(ほとんどのサービス)です。これは事実上、パスワードブルートフォース攻撃を1分あたり1パスワードに制限します(パスワードが「asdf」でない限り、パスワードが侵入することはありません)が、10は十分に高いため、あまり技術的でないユーザーが簡単にロックアウトされることはありません。

本当にそれに飛び込みたい場合は、かなり複雑なルールを記述して、Apacheに特定のエラーメッセージを問題のあるIPまたはその他のあらゆる種類の楽しみに返すようにすることができます(私の個人的なお気に入りは、IPブロックの所有者に不正使用レポートを送信することです)。しかし、始めるのはとても簡単です。

4
Chris S

http://wordpress.org/extend/plugins/simple-login-lockdown/

仕組み:

  1. 攻撃者はログインを試みて失敗します。
  2. ログインに失敗した単純なログインロックダウンレコード。
  3. 一定数の失敗した試行(デフォルトは5)の後、wp-login.phpページへのアクセスのそれ以上の試行は一時的にブロックされます(デフォルトは1時間)。」
2
h00j

apacheで実行している場合は、次のモジュールを試すことができます。

または、Modsecurityを使用して実行することもできます。これはそれについての素晴らしい記事です:

http://www.dongit.nl/tech/modsecurity-brute-force-protection

そしてNginxで:

2
VP.