先週、私たちの会社のウェブサイトは奇妙な総当り力の下にありました、この攻撃は実際に管理者アカウントのハッキングにつながりました。
私たちのウェブサイトはwordpressサイトです。攻撃者はwp-loginページ(wordpress認証ページ)でPOSTリクエスト(24時間ノンストップ))を実行し続けますただし、高速ではありません。毎分4リクエストで、新しい4リクエストはそれぞれ異なるIPと異なるユーザーエージェントを使用して行われます。
いくつかのセキュリティツールをインストールし、ルールを設定して、3回失敗するたびにユーザーがファイアウォールにブロックされるようにし、ユーザーのパスワードを推測しにくくしました。
この種類の攻撃にはこれで十分ですか、それとも他に何かすべきですか?
いくつかのもの、オプション、設定などがあります。アプリケーションと基盤となるサーバーの強化を改善するために設定できます。ここでは、簡単な実装と有効性のバランスが良いと私が信じているものについての推奨事項を示します。
特定のオプションによっては、構成がそれほど難しくない瞬間的な最大の影響は、アプリケーションに接続できるユーザーを制限することです。
ブラックリストは確かにオプションですが、あなたが説明したように、攻撃者は常にIPアドレスを変更しています。これを行わないことをお勧めします。
ホワイトリストはより適切な提案であり、特定のIPのみがアプリケーションにアクセスできるようにします。これにより、その攻撃が阻止されます。
これをVPNと組み合わせることができます。つまり、自宅で作業している人(ほとんどの場合動的IPを使用)は、誰かにアクセスを許可することなく、簡単にアプリケーションに接続できます。
とにかく、この遅い攻撃によってアカウントが侵害された場合は、本当にパスワードポリシーに質問する必要があります。このサイトにはパスワードに関するアドバイスを提供する多くのリファレンスがあります。ここでは詳しく説明しません。
あなたのパスワードがその価値がある場合(笑)、この攻撃はあなたを段階的にするべきではありません。
可能であれば、デフォルトのユーザー名をadminから変更すると、多くの人が投げかけます。つまり、私が常に最初に試すユーザーはadminです。
あなたはすでに2つの良いことをしました:
しかし、あなたができることはもっとあります:
これらのいくつかは実装が簡単であり、他は難しいです。いくつかは使いやすさをかなり制限し(例:IPホワイトリスト)、少数のユーザーグループがある場合にのみ実行可能です。問題を永久に解決する特効薬はありません。