セキュリティ企業Wordfenceによると、昨日の12月18日3時(UTC時刻基準)に WordPress サイトを対象に、大規模な分散ブルートフォース攻撃(ブルートフォース攻撃、Brute Force Attack)が発生したとしますね。
今回の攻撃は、攻撃に動員されたIPも多く、各IPが莫大な数の攻撃を発生するなど、その規模の面でWordfenceが WordPress セキュリティサービスを開始した2012年以来、最大規模の攻撃と呼ばれます。 (攻撃がピークのとき時間攻撃することができ、1,400万件を超えたとしますね。)
もっと詳しく Breaking:Aggressive WordPress Brute Force Attack Campaign Started Today、3am UTCを参考にしてみてください。
リンクされた記事によると、記事の作成時に明らかになった点は...
- 当時まで攻撃の頂点に達する時時間当たり1410万件に名前
- 関連IPの合計数は、10000個ノムウム
- 時間攻撃対象にされた WordPress サイトが最大19万個の名前
- Wordfenceが WordPress セキュリティ事業を開始して以来時間攻撃量としては最大規模
攻撃への備え
事実、このブログで WordPress 関連のセキュリティに関連して作成された措置をとった場合、別の心配をしていなくても良いと思われる。 次のような措置を取って WordPress サイトのセキュリティを強化することをお勧め。
- ブルトフォース攻撃をインテリジェントにブロックするWordfenceのようなファイアウォールのインストール(」WordPress ベストセキュリティプラグイン「注)
- すべてのユーザーアカウントは、特に管理者アカウントに対して強力なパスワードの使用。 (Wordfence Premiumはpassword auditing(パスワード監査)機能を提供するとしますね。)
- 管理者のユーザー名として「admin」を使用して推測しにくい名前に変更
- 未使用のアカウントを削除します。 特に使用していない管理者アカウントを削除してください。 これにより、「攻撃サーフェス」を減らすことができます。
- すべての管理者アカウントに対して2段階認証を有効に。
- IPをブロックするIPブラックリストを有効にします。 (個人的にはTheme■Securityプラグインをインストールして使用していますが、Network Brute Force Protectionという機能で禁止されたIPをブロックする機能があります。 Wordfenceの場合は、プレミアムバージョンでリアルタイムIPブラックリストを提供しています。)
- 管理者がログインすると、通知するように設定してログイン攻撃監視します。 Wordfence無料版では、この機能を提供しています。
- 同じパスワードを複数のサービスに使用することは禁物。
参考までに WordPress セキュリティのために、次のXNUMXつの基本的な原則に従っ WordPress サイトを安全に運営することができます。
- WordPress、テーマ、プラグインを常に最新のバージョンに更新
- WordPress セキュリティプラグインのインストール
- 定期的なバックアップ
転ばぬ先の杖(有備無患)という言葉があるように、残念より事前に準備するのが最善です。
ちなみにこのブログの場合、会員登録を受けないため WordPressに特定のIPのみログインが可能になるよう設定していました。 そして仮想サーバーホスティング(VPS)を利用する場合、通常は、SSH接続をしないようにブロックすることをセキュリティ上のよさそうです。 (このブログでは、 Bluehost VPSを使用中なのに、普段はSSH Password Authentication機能を実行しなくています(参照))
こんにちは、オペレータ様、 WordPress サイトを運営中のセキュリティ関連して質問が生じそう質問を残します。
Brute Force攻撃に備えて、上記のことを行い、i themes security プラグインによる攻撃を防いでいます。
ところで、log記録を見るとミョトナル数日が過ぎてもburte force攻撃が止まらずに続行行われていることを確認しています。
もしかしたら、このような部分について可能なアドバイスや対策があるでしょう? 文が長かった。 ありがとうございます〜!
こんにちは?
この問題について、海外のブログ記事を探してみる次のような措置をアドバイスしていますね。
- ファイアウォールプラグインのインストール
- WordPress、テーマ、プラグインを最新バージョンにアップデート
- 2段階認証を追加する
- 強力なパスワードを使用する
- Directory Browsingを無効にする(https://iwordpower.com/disable-directory-browsing/ 参考)
- 特定 WordPress フォルダにPHPファイルを実行を無効に
- > / wp-content / uploads /フォルダに.htaccessファイルを作成し、次のコードを追加します。
https://www.screencast.com/t/ZqJ0bil7IJt
- サイトのバックアップ
それでも問題が解決しない場合は、Webホスティング会社に一度お問い合わせしてください。
(特に WordPress、テーマ、プラグインを最新バージョンにアップデートすることがよく、長い間更新しないされたプラグインは、使用していないことが望ましい。)
こんにちは、詳細な回答ありがとうございます。 これまであげてくださった多くの資料のおかげで、上記の
- ファイアウォールプラグインのインストール
- WordPress、テーマ、プラグインを最新バージョンにアップデート
- 2段階認証を追加する
- 強力なパスワードを使用する
- Directory Browsingを無効にする( https://iwordpower.com/disable-directory-browsing/ 参考)
まで進行をしたんです、.htaccessファイルを、Macのテキストエディタで作成した後、アップロードしたら、Webサイトからの各種画像の読み込みに問題が生じますね。 私htaccessファイルに正当なファイルを魚したのか疑問がするがもしかしたら、これについてのコメントをしてくださることがありましたか?
ありがとうございます!
Apacheサーバーで.htaccessファイルを作成することができます。
一意のアドレスの設定は、デフォルトで設定された場合、.htaccessファイルが生成されないことです。
Apache Webサーバーで固有アドレス設定が「デフォルト」でない状況で.htaccessファイルが表示されない場合は、ftpクライアント(ファイルジラなど)で隠しファイルを表示するように設定してください。
https://avada.co.kr/wordpress/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-htaccess-%ED%8C%8C%EC%9D%BC%EC%9D%B4-%ED%91%9C%EC%8B%9C%EB%90%98%EC%A7%80-%EC%95%8A%EB%8A%94-%EA%B2%BD%EC%9A%B0/
Nginxサーバである場合、次の文を参照してみてください:
https://websiteforstudents.com/block-access-wordpress-wp-admin-via-nginx-ubuntu-17-04-17-10/
次の記事も参考にしてみてください:
https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%EA%B0%95%ED%99%94%ED%95%98%EA%B8%B0/
ログインするユーザーが何人いない場合、特定のIPのみログインが可能になるような措置をとることを検討してください。
ハル…第二、これは…ㅜㅜ
私も WordPress ログインするところは、オフィスや家の外になくて、特定のipログインしておくべきようですね。
残念ことがないようにしなっつもり.. !!
セキュリティプラグインを1つ取り付けておい最新バージョンにアップデートすると、別の問題は、ないでしょう。
どうしてもログインが可能なIPを制限すると、セキュリティに大いに役立つと思われる。