タグ別アーカイブ: Crazy Bone

Brute force attack との戦い – その2

ログイン履歴を保存できるプラグイン「狂骨」をインストールした知人から、こんな話がありました。
「管理者アカウントを admin 以外にしていて、author リンクとかはサイトに一切表示していないのにそのアカウントへのアタックが観測されるんだけど

原因が良くわからなかったのですが WordCamp Kobe 2013 の懇親会での LT で謎が解けました。
要約すると
「WordPress では /?author={user_id} にアクセスすることで、著者アーカイブにリダイレクトされる。
 その URL からログインユーザ名を取得することが可能。
 通常最初に追加されるユーザのユーザ ID は 1 なので、攻撃者は /?author=1 に対してリクエストしてくる。」
ってことです。

そんなわけで、気持ち悪い人は以下のようなプラグインを使用して著者アーカイブのスラッグ自体を変更してあげましょう。

他の対処法としては、みやさんが作ったプラグイン「Force email login」でログインユーザ名ではなく、登録されたメールアドレスでログインするようにする方法も有効ですね。

以下に「Edit Author Slug」の設定方法を説明します。
続きを読む

Brute force attack との戦い

先般リリースした WordPress プラグイン「Crazy Bone (狂骨)」で、ブルートフォースアタックのログを見て、もろもろ設定変更したので、メモ代わりに。

特徴として、非常に多くの IP アドレスからのアタックがあるため、ブラックリストでの IP アドレス制限は現実的ではありません。
IP アドレス制限を行うなら、ホワイトリストでの制限をかけないとですが、それをやると出先でブログを書こうとかするとメンドくさいです。
そこで、以下の対策を行いました。

  • 狙われやすいアカウント名でのログイン試行は、WordPress 読み込み前に拒否
  • ユーザーエージェントでの wp-login.php へのアクセス制限

続きを読む

「狂骨」に諸々機能追加した Ver.0.4.0 をリリース

WordPress へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」に諸々機能追加した Ver.0.4.0 をリリースしました。
WordPress › Crazy Bone « WordPress Plugins

追加した機能は、以下の通り

  • ログイン中の IP アドレスとは違う IP アドレスからログインされた場合に警告メッセージを表示 (Ver.0.2.0 より)
  • 指定した日より以前のログを消去する機能を追加 (Ver.0.3.0 より)
  • エラー時に入力されたユーザーアカウント/パスワードを表示 (Ver.0.4.0 より)
  • ログイン回数等のサマリー情報を表示するページを追加 (Ver.0.4.0 より)

詳細は、以下の通りです。
続きを読む