wp-adminフォルダ、総当たり、およびパスワード保護
ブルートフォース攻撃がどのように機能するのかわかりません。通常のWordpressログインに加えて、wp-adminフォルダをパスワードで保護しました。この「第2層」を持つことは、ブルートフォース攻撃をどのように抑制しますか?自動化されたプロセスでは2回目のログインで再起動できないためですか。
ありがとう。
Wp-adminだけを保護してもそれほど役に立ちません。少なくともブルートフォース攻撃からあなたを保護することはできません。
総当たり攻撃は、ユーザーのパスワードや個人識別番号(PIN)などの情報を入手するために使用される試行錯誤の方法です。ブルートフォース攻撃では、自動化されたソフトウェアを使用して、目的のデータの値に関して多数の連続した推測が生成されます。
つまり、言い換えれば、攻撃者は別の認証情報でログインしようとすることでパスワードを推測しようとします。
Wp-adminを保護してもあなたが保護されないのはなぜですか?総当たり攻撃はwp-adminに向けられていないためです。 WordPressに総当たり攻撃を仕掛ける方法は2つあります。
- 資格情報をwp-login.phpに送信して、応答を確認してください。
- 認証された要求をxmlrpc.phpに送り、認証エラーが発生したかどうかを確認してください。
あなたがブルートフォース攻撃からあなた自身を守りたいのであれば、あなたはこれらの2つのファイルを守るべきです。これにより、攻撃者は資格情報を推測できなくなります。
もちろん、wp-adminを保護することも賢明です - この方法で誰かがパスワードを破ったとしても、彼はまだwp-admin領域にアクセスできません。
第2層(基本認証?)は、ブルートフォースから身を守るために使用できる方法の1つにすぎません。また、ログインスロットルまたは一時ロックアウトを実装することもできます。