ブルートフォースアタックとは「何回もパスワードを変更してログインを試みる」という
攻撃です。今でも多発しています。おそらく、日本ほど狙いやすい国はないのでしょう。
昨
年、大規模な改ざんの行われたロリポップでは、不正ログインのアクションを検知した際に、wp-login.phpへのアクセスに制限をかける対策を行っ
ています。現状IPアドレスによる制限が一番安全な利用方法ということなのですが、ブルートフォースアタックが多すぎます。固定IPを持たない人は攻撃を
受けるたびにFTPで解除しなければなりません。それでも、改ざんされて、トロイなど埋め込まれることを考ええば、まだましですが、何か良い方法はないの
でしょうか。
現在、頻繁にブルートフォースアタックが発生するURLにベーシック認証をかける試みを行っています。これで100%防げるはずもないのですが、テストで行っています。
AuthUserFile /wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthName "Member"
AuthType Basic
require valid-user
結果が出ましたら、報告します。
2015年4月1日
これはやっても無駄でした。