ブルートフォースアタック対抗機能があるCMS

ブルートフォースアタックでWord Pressのサイトが攻撃されて改竄やハッキング被害にあっている。

ブルートフォースアタックは、不正ログインを可能にする。

ブルートフォースアタックは、同一のIPアドレスから1秒間に何十回と繰り返し使用されているIDとPasswordを解読する攻撃である。

最近では、1時間に1回という低速の攻撃でIPアドレスを変えて攻撃してくるケースが多い。どのCMSも管理画面にアクセスするためには、IDとPasswordが必要である。ハッカーは、CMSの脆弱性を探すだけでなく正攻法でログイン情報をブルートフォースアタックで解読しようとする。

広く使用されているWord Pressは、その格好のターゲットになっている。

残念ながら、Word Pressの標準機能ではこの攻撃に対抗するセキュリティ機能がない。

Joomlaバージョン3を使用するとブルートフォースアタック(不正ログイン)に対抗できる機能が標準で提供されているので安心である。

Joomla version 3では、Googleが提供している2段階認証機能を使えるようになっている。この機能を使うと管理ログイン画面にID、Passwordに加えて秘密のキーを入力することになる。

2-login

シークレットキーは、アンドロイド端末(スマートフォンやタブレット)に2段階認証アプリをインストールしてそのアプリからワンタイムパスワードを入手する事になる。

このアプリをアンドロイド端末でインストールして設定が完了すれば、Joomlaのユーザー管理画面になる2段階認証設定を行えるようになる。

2-login-setup

手動2ー設定で注意することは、手入力で表示されたユーザー名とキーをアンドロイド端末の設定画面に入力することである。

コード画像をスキャンする方法であると何故かGoogle認証ができない。

あと、

2段階認証設定は、各ユーザーごとの設定になっている。Super AdministratorやAdministratorは、全て2段階認証設定を行わないと意味が無い。

もし、

2段階認証機能をやめたい時は、Googleユーザー管理画面にログインして2段階認証機能を止めるように設定する必要がある。

2段階認証機能は、不正ログイン攻撃に対して有効な対策である一方で利便性の面で問題が発生する。アンドロイド端末をいつも所持している必要があるからである。忘れた場合は、Googleから提供されたワンタイムパスワードリストを使ってログインするしか方法がない。

 

Fields marked with * are required