web-dev-qa-db-ja.com

ブルートフォース攻撃によるハッキングを回避する

先週、私たちの会社のウェブサイトは奇妙な総当り力の下にありました、この攻撃は実際に管理者アカウントのハッキングにつながりました。

私たちのウェブサイトはwordpressサイトです。攻撃者はwp-loginページ(wordpress認証ページ)でPOSTリクエスト(24時間ノンストップ))を実行し続けますただし、高速ではありません。毎分4リクエストで、新しい4リクエストはそれぞれ異なるIPと異なるユーザーエージェントを使用して行われます。

いくつかのセキュリティツールをインストールし、ルールを設定して、3回失敗するたびにユーザーがファイアウォールにブロックされるようにし、ユーザーのパスワードを推測しにくくしました。

この種類の攻撃にはこれで十分ですか、それとも他に何かすべきですか?

5
Badr

いくつかのもの、オプション、設定などがあります。アプリケーションと基盤となるサーバーの強化を改善するために設定できます。ここでは、簡単な実装と有効性のバランスが良いと私が信じているものについての推奨事項を示します。

接続の制限

特定のオプションによっては、構成がそれほど難しくない瞬間的な最大の影響は、アプリケーションに接続できるユーザーを制限することです。

ブラックリストは確かにオプションですが、あなたが説明したように、攻撃者は常にIPアドレスを変更しています。これを行わないことをお勧めします。

ホワイトリストはより適切な提案であり、特定のIPのみがアプリケーションにアクセスできるようにします。これにより、その攻撃が阻止されます。

これをVPNと組み合わせることができます。つまり、自宅で作業している人(ほとんどの場合動的IPを使用)は、誰かにアクセスを許可することなく、簡単にアプリケーションに接続できます。

安全なパスワード

とにかく、この遅い攻撃によってアカウントが侵害された場合は、本当にパスワードポリシーに質問する必要があります。このサイトにはパスワードに関するアドバイスを提供する多くのリファレンスがあります。ここでは詳しく説明しません。

あなたのパスワードがその価値がある場合(笑)、この攻撃はあなたを段階的にするべきではありません。

デフォルトのユーザー名を変更する

可能であれば、デフォルトのユーザー名をadminから変更すると、多くの人が投げかけます。つまり、私が常に最初に試すユーザーはadminです。

しない!

  • Xの試行後にアカウントを無効にしないでください。DoSを要求するだけです。
  • ブラックリストを使用しない(または少なくとも回避する)so many IPアドレス、おそらく一般的なVPNサービスであり、多くの人々が使用していますたくさん。
4
TheHidden

あなたはすでに2つの良いことをしました:

  • 有効なパスワードを強制する
  • ユーザー名のレート制限

しかし、あなたができることはもっとあります:

  • ログインページのURLとデフォルトのユーザー名を変更します。確かに、これはあいまいさによるセキュリティですが、怠惰な攻撃者に対しては機能します。
  • ログインできるIPを制限します。バックエンドにアクセスする場所がわかっている場合は、ホワイトリストを作成できます。または、地理位置情報に基づいて特定の国をブロックすることもできます。
  • CAPTCHAを使用します。もちろん、バイパスすることはできますが、攻撃者の作業が増えることになります。
  • ターゲットに設定された後にアカウントのブロックが開始され、ログインの問題が発生した場合、ユーザーが自分の電子メールに送信されたリンクをクリックしてブロックをバイパスできるようにすることができます。
  • 2要素認証を使用します。

これらのいくつかは実装が簡単であり、他は難しいです。いくつかは使いやすさをかなり制限し(例:IPホワイトリスト)、少数のユーザーグループがある場合にのみ実行可能です。問題を永久に解決する特効薬はありません。

1
Anders