Wordfence公式のヘルプページに設定の目安になる記載があります。
※以下、ヘルプページを和訳した文章です
何回ログインに失敗するとロックアウトされるか
指定した回数ログインに失敗した訪問者が、指定した時間、IPアドレスをロックアウトします。
ただし、実際のユーザーはパスワードを忘れてしまい、ユーザー名やパスワードを思い出そうとしながら最大5回以上のログイン試行を繰り返すことがよくあります。
そのため、この値を20に設定することをお勧めします。
これにより、実際のユーザーには十分なログイン機会が与えられますが、ブルートフォース攻撃は20回試行後にブロックされます。
何回パスワードを忘れたらロックアウトするか
WordPressの「パスワードをお忘れですか?」フォームの使用回数を制限します。
これにより、「パスワードをお忘れですか?」フォームを悪用して、実際のユーザーにパスワードリセットメールを大量に送信したり、攻撃者がシステム上のユーザーアカウントを推測しようとするのを防ぐことができます。
ほとんどのサイトでは、この設定を5回にすれば十分でしょう。
どの期間の失敗をカウントするか
これは、失敗回数をカウントする時間枠を指定します。
例えば、5分と20回の失敗回数を指定した場合、5分間に20回ログインに失敗すると、ログインページにアクセスできなくなります。
ブルートフォース攻撃は通常、数秒ごとに1回のログイン試行を行います。
そのため、ログイン失敗回数を20回に設定した場合、5分間はブルートフォース攻撃によるログインハッキングを防ぐのに十分な時間です。
さらに長い時間を設定するオプションもあります。
ユーザーをロックアウトする期間
これは、Wordfenceのブルートフォース攻撃防御によってIPアドレスがロックアウトされた場合、そのIPアドレスがロックアウトされる期間を指定します。
リモート攻撃者がサイトのユーザー名とパスワードを推測する機会を多く与えないようにすることが目的です。
十分に強力なパスワードを使用している場合、パスワードを正しく推測するには何千回も試行する必要があるでしょう。
例えば、失敗回数を20回、攻撃間隔を5分に設定し、このオプションを5分に設定した場合、攻撃者は5分ごとに20回しか推測できず、その後5分間ロックアウトされて待機する必要があります。
つまり、攻撃者は10分ごとに20回しか推測できず、1日あたり2880回しか推測できないことになります(ロックアウトからちょうど5分後に攻撃を再開できることを攻撃者が認識している場合)。
この時間が十分ではないと思われる場合は、ロックアウト時間を60分に延長できます。
これにより、攻撃者が1日に推測を試みる回数が大幅に減少します。
コメントを残す