web-dev-qa-db-ja.com

Wordpressへのログインにはどの方法が使用できますか?

FYI:これはまた、私はこのウェブサイトにはかなり新しいので投稿されました here そしてWordpressの部分が存在することを知りませんでした。再投稿して申し訳ありません。

私は現在 wordpress (wordpress.org/.comではなく別々のインストール)で実行されているウェブサイトのセキュリティを強化しようとしています。私は Wordfence をインストールしました。これは無効なユーザー名を即座に使用しようと試みるすべてのIPをブロックします。

私達のISPは次のよ​​うなホスト名を配っているので

www-xxx-yyy-zzz.my.isp.tld

私以外にはログインを必要とするユーザーはいません。私はブルートフォース攻撃をさらに防ぐために何らかの方法を追加すると思いました。

WP Codexには、フォームを送信していない人のために wp-login.phpへのアクセスを防止するためのセクション があります。私の目には、これは以下のようにブルートフォースをかけようとするあらゆるスクリプトを取り除くはずです。

www.mydomain.tld/wp-admin.php?log=admin&pwd=alex

フォームを送信する人のためにこれはうまくいきませんので、私はwp-login.phpの先頭にホスト名をチェックし、それが私たちのISPと一致しない場合はリダイレクトする部分を追加しました:

<?PHP
if (strpos(gethostbyaddr($_SERVER['REMOTE_ADDR']),'my.isp.tld') == false) {
    header('Location: http://www.google.com/');
}
?>

私はそれをチェックしました、そして私が私の携帯電話の上でwp-login.phpにアクセスしようとするとき、それは私をグーグルに投げかけるときに、この部分も同様に働いています。これまでのところ、私がこの方法を使用するのを妨げたのは3-4回のログイン試行のみでした。

私の立場から見れば、私はあらゆることに気を配っていますが、Wordfenceはまだブロックされたログイン試行についての通知を私に送ります。

うまくいくかどうかを確認するために、Wordpressのメインフォルダにある .htaccess ファイルに次のコードを追加しました。

<Files "wp-login.php">
    order deny,allow
    allow from my.isp.tld
</Files>

それでも電子メールは飛んでくる。今問題は

ログインしてみるためにwp-login.phpを呼び出す他の方法はありますか。上記のシナリオの一部ではない使用可能な方法がまだあるようです。

他の質問でコメントされたように:失敗した試みを持つIPは私のものに合うようになりすまされていません。

任意のアイデア、コメントなどは大歓迎です。

さよなら

2
MDschay

他のログインの可能性についての私の質問への答えは、 birgireによって投稿された質問 で与えられました。

xmlrpc.phpへのリモートアクセスを無効にした後、攻撃はゼロになりました。

しかし、これはあなたのウェブサイトに 深刻な結果 をもたらす可能性があります。とりわけ jetpack なので私はそれをお勧めしません。

Mark Kaplunが述べたように、他にももっと深刻な攻撃があるかもしれませんし、私のログを分析すると私が遭遇したこれらのブルートフォース攻撃は非常に基本的なものです。

  • 管理者ユーザー名を "admin"以外に変更します。
  • 適切なパスワードを使用する
0
MDschay

tl; Drは良いパスワードを使用してサイトのセキュリティを保護する方法を知っているふりをするのをやめるので、長いことを書いて削除することにしました、サイトのパフォーマンス(リバースDNSコード)を下げるかロックする可能性が高くなります自分自身を出してから実際に攻撃を防ぎます。

セキュリティはコンテキストに関するものであり、ワードプレスの総当たり攻撃はおそらくあなたの悩みのうちで最も少ないです、それはあなたが http://wptavern.com/wordpress-security-alertを介してハッキングされることを防げなかったでしょうティムスンスクリプトで発見された新しいゼロデイ脆弱性

または http://wptavern.com/critical-security-vulnerability-found-in-wordpress-slider-revolution-plugin-immediate-update-advised

または https://blog.sucuri.net/2015/10/security-advisory-stored-xss-in-jetpack.html

そして、プラグインにたどり着く前に、私はあなたのホスティングは安全かと尋ねた方がいいでしょうか。 (リンクが見つからず、どの大企業がハッキングされたのかわからない)

1
Mark Kaplun