wordpressのログインアタック
wordpressのログイン攻撃が大量にきたのでいろいろ対抗してみました。
【アタックされた時の状況】
○ WordPress 4.4.2 (2016年2月時点で最新)
○ プラグインWP Security導入済み
○ htaccessでwp-login.phpにIPアドレス制限設定済み
○ htaccessでwp-adminディレクトリにIPアドレス制限設定済み(admin-ajax.phpは除く)
この状況で、ログインのブルートフォース攻撃の
アラートが飛んでくる状態になっていました。
【ログを確認】
アラートが飛んできた時のアクセスログを確認すると
wordpressのxmlrpc.phpに対してPOSTアクセスがあり、
そこから、ログインにアタックしているようです。
【対策】
xmlrpc.phpにもIP制限を実施
<Files xmlrpc.php>
Order deny,allow
Deny from all
Allow from #IPアドレス
</Files>
【効果】
実施後2日の時点で、攻撃はありません。
関連記事
-
-
企業のセキュリティー対策
http://www.itmedia.co.jp/news/articles/1008/17/new
-
-
concrete5でFatal error発生
先日concrete5でFatalErrorが発生し修正しました。 Fatal error: Ex
-
-
外でもWEB更新作業
外とかで修正突発的な作業などに、対応するノートPCとAndroidを使った方法を実験しました 【作
-
-
映像の中はあなたの思い出の場所
http://www.thewildernessdowntown.com/ http://www.
-
-
オンラインストレージ
オンラインストレージサービス 「DropBox」「SugerSync」「Nドラ
-
-
マーケットで見つからないアプリのインストール
「CAR HOME」や「Skype」をアンドロイドマーケットで検索しても見つからない場合が多々ありま
-
-
Googleショッピング
http://www.rbbtoday.com/article/2010/10/28/71602.h
-
-
ブラウザからAndroid
Airdroid アプリを端末にインストールして起動すると、アクセス用URLとパスワードが表示
