FYI:これはまた、私はこのウェブサイトにはかなり新しいので投稿されました here そしてWordpressの部分が存在することを知りませんでした。再投稿して申し訳ありません。
私は現在 wordpress (wordpress.org/.comではなく別々のインストール)で実行されているウェブサイトのセキュリティを強化しようとしています。私は Wordfence をインストールしました。これは無効なユーザー名を即座に使用しようと試みるすべてのIPをブロックします。
私達のISPは次のようなホスト名を配っているので
www-xxx-yyy-zzz.my.isp.tld
私以外にはログインを必要とするユーザーはいません。私はブルートフォース攻撃をさらに防ぐために何らかの方法を追加すると思いました。
WP Codexには、フォームを送信していない人のために wp-login.phpへのアクセスを防止するためのセクション があります。私の目には、これは以下のようにブルートフォースをかけようとするあらゆるスクリプトを取り除くはずです。
www.mydomain.tld/wp-admin.php?log=admin&pwd=alex
フォームを送信する人のためにこれはうまくいきませんので、私はwp-login.php
の先頭にホスト名をチェックし、それが私たちのISPと一致しない場合はリダイレクトする部分を追加しました:
<?PHP
if (strpos(gethostbyaddr($_SERVER['REMOTE_ADDR']),'my.isp.tld') == false) {
header('Location: http://www.google.com/');
}
?>
私はそれをチェックしました、そして私が私の携帯電話の上でwp-login.php
にアクセスしようとするとき、それは私をグーグルに投げかけるときに、この部分も同様に働いています。これまでのところ、私がこの方法を使用するのを妨げたのは3-4回のログイン試行のみでした。
私の立場から見れば、私はあらゆることに気を配っていますが、Wordfenceはまだブロックされたログイン試行についての通知を私に送ります。
うまくいくかどうかを確認するために、Wordpressのメインフォルダにある .htaccess ファイルに次のコードを追加しました。
<Files "wp-login.php">
order deny,allow
allow from my.isp.tld
</Files>
それでも電子メールは飛んでくる。今問題は
ログインしてみるためにwp-login.php
を呼び出す他の方法はありますか。上記のシナリオの一部ではない使用可能な方法がまだあるようです。
他の質問でコメントされたように:失敗した試みを持つIPは私のものに合うようになりすまされていません。
任意のアイデア、コメントなどは大歓迎です。
さよなら
他のログインの可能性についての私の質問への答えは、 birgireによって投稿された質問 で与えられました。
xmlrpc.php
へのリモートアクセスを無効にした後、攻撃はゼロになりました。
しかし、これはあなたのウェブサイトに 深刻な結果 をもたらす可能性があります。とりわけ jetpack なので私はそれをお勧めしません。
Mark Kaplunが述べたように、他にももっと深刻な攻撃があるかもしれませんし、私のログを分析すると私が遭遇したこれらのブルートフォース攻撃は非常に基本的なものです。
tl; Drは良いパスワードを使用してサイトのセキュリティを保護する方法を知っているふりをするのをやめるので、長いことを書いて削除することにしました、サイトのパフォーマンス(リバースDNSコード)を下げるかロックする可能性が高くなります自分自身を出してから実際に攻撃を防ぎます。
セキュリティはコンテキストに関するものであり、ワードプレスの総当たり攻撃はおそらくあなたの悩みのうちで最も少ないです、それはあなたが http://wptavern.com/wordpress-security-alertを介してハッキングされることを防げなかったでしょうティムスンスクリプトで発見された新しいゼロデイ脆弱性
または https://blog.sucuri.net/2015/10/security-advisory-stored-xss-in-jetpack.html
そして、プラグインにたどり着く前に、私はあなたのホスティングは安全かと尋ねた方がいいでしょうか。 (リンクが見つからず、どの大企業がハッキングされたのかわからない)