All In One WP Security & Firewall(AIOWPS) の設定
不正なアタックをまず軽減する。
1)一定時間(A)内に、一定回数(B)ログインに失敗すると、一定時間(C)アクセス元IPをプロテクトする。Login Lockdown の設定。
User Login → Login Lockdown
以下の設定は、(A)5分間に、(B)3回ログインに失敗すると、(C)120分アクセスIPをプロテクトして、そのレポートは、admin@dt-a.netに送信される設定になっています。
Enable Login Lockdown Feature:
ここにチェックを入れると以下の設定が有効になります。
Allow Unlock Requests:
ユーザーがアカウントのロックを解除する自動アンロックリクエストリンクを生成できるようにする場合は、これをチェックします。
Max Login Attempts:
IPアドレスがロックアウトされる前の最大ログイン再試行の値を設定する。
Login Retry Time Period (min):
特定のIPアドレスに対するログイン試行の最大失敗回数がこの期間内に発生した場合、プラグインはそのアドレスをロックアウトします。
Time Length of Lockout (min):
特定のIPアドレスがログインできない時間の長さを設定する。
Display Generic Error Message:
ログイン試行が失敗したときに一般的なエラーメッセージを表示する場合はこれをチェックします。
Instantly Lockout Invalid Usernames:
システムに存在しないユーザ名でログイン試行をすぐにロックアウトしたい場合は、これをチェックしてください。
Notify By Email:
不正ログインがあった場合メールでお知らせされる。これ、とっても重要です。多くの不正アタックは、土曜日曜に行われます。その際に、どういったIDでトライして、IPアドレスは固定なのか?ばらしてきているのか?この辺りも、即対応すべきか?大丈夫なのか?の判断材料になります。
管理画面へのログイン時に簡単な計算を要求する。
足し算、引き算、かけ算、を要求します。しかも、数字だけでなく英語の場合もあります。これらをログイン画面のIDとパスワードの下に表示させます。パスワード再設定の画面にも設定できます。
Brute Force → Login Capcha
不正なアタックの状況を確認する。
正しくは、ログインエラーの状況を確認する。
User Login → Failed Login Records
このタブには、サイトのログイン試行に失敗したことが表示されます。以下の情報は、IP範囲、ユーザー名とID(該当する場合)、失敗したログイン試行の日時を表示するため、セキュリティ調査を行う必要がある場合に便利です。
下の方に「Export to CSV」があるので、ここからログインエラーしたIPアドレスを取得する事ができる。注意点としては、スパムアクセス以外のユーザーのログインミスのIPも取得しているので注意が必要です。つまり、ユーザーがログインミスしたIPアドレスが、Blacklistに登録されると、そのユーザーはログインできない。
不正アタックのIPアドレスをプロテクトする。
Blacklist Manager
ここに不正アタックしてくるIPアドレスを登録する。
101.180.146.*
の様に末尾を*(アスタリスク)にする事で、上記のケースですと、
101.180.146.0 ~ 101.180.146.255
のアドレスをプロテクトする事ができる。
管理画面へのログインURLを変更する。
設定できないサーバもありますのでご注意ください。※さくらインターネットではできません。
Brute Force → Rename Login Page
htaccessで同様の仕組みを構築する、、(近日中に記載します):