Amazon IPアドレスから来る、管理者ユーザー名への総当たり攻撃に関する質問
私は会社の開発者です(ただしワードプレスではありません)。私たちはワードプレスサイトをホストするためにEC2インスタンスを使います。私は実際には「admin」という名前のアカウントを持っていませんが、ユーザー「admin」としてログインを試みるIPを永久に禁止するiThemes Security Proを持っています。
1週間ほど前、私はブラジルのIPから、さらにウクライナのIPから管理者ユーザー名でアクセスしようとしたサイトロックアウト通知を受け取りました。私はそれは大丈夫だと思いました、しかし過去数日の間に、私はユーザーadminとしてログインを試みるために別のIPがロックアウトされていると言っているので電子メールを受け取っています。
特定のIPアドレスに対してそのページをIPワイドで禁止することを考えましたが、最近の攻撃はすべて米国からのものであることを認識しています。そして時がたつにつれて、IPは実際のサーバーが置かれている場所(オレゴン)にますます近づいているようです。また、これらのIPはすべてAmazonに登録されているように見えるため、それら自体がEC2インスタンスである可能性があります。
それに追いつくために、私は 次のプラグイン を使用してログインページにキャプチャをしようとしました。キャプチャは私の管理者ログインページに表示されます。しかし、ボットはどうにかこれを乗り越えてキャプチャを完了せずにログインを試みることができます。
これを止めるために何をすべきかについて何かアドバイスがありますか?
私は自分自身でこれに気づいた(それが同じプラグインであったかどうか思い出せない)。キャプチャはそこにありましたが、フォームを送信しただけではエラーが発生せず、完璧に機能してログインしました。
私の#1アドバイス:wp-login.phpを他のものに改名するためにプラグインを使用してください。これらのボットを効果的に阻止し(そして特にあなたを狙っている攻撃者を遅らせるが、それらは非常にまれですが)、正当なユーザーにログインに使用する新しいURLを伝えるだけです。明らかに、何千人ものユーザーがいる場合はそれは選択肢にはなりませんが、平均的な会社のサイトではそうです。
また、XMLRPCとREST APIを使用しない場合は無効にすることを検討してください。攻撃を受ける可能性が高くなります。
それ以外は、あなたはすでにかなりうまく設定されているように思えます、そしてセキュリティへの積極的な姿勢は常に素晴らしい出発点です。