Joomla!へのブルートフォース攻撃を防ぐAdminExile

AdminExileで管理画面のURLをカスタマイズするだけでも、攻撃者が管理画面に不正アクセスすることは相当に難しくなります。とはいえ、攻撃者が管理画面にブルートフォース攻撃をかけてくると、サーバの負荷が急増します。一部の格安レンタルサーバでは高負荷になるとサイト全体のアクセスが制限されることがあります。

AdminExileには、攻撃者のIPアドレスを検知してメール通知する機能があります。この機能を使えば、特定のIPアドレスを.htaccessでブロックすることができます。

AdminExileでブルートフォース攻撃者のIPアドレスを検知するには

AdminExileの管理画面にアクセスしてから、Brute Forceタブを開きます。ここで、Detect Brute Forceを「はい」に、Email Recipientをサイト管理者のアカウントに、Email Adminを「はい」にして「保存」します。

他のパラメータについては、以下を参考に任意で設定してください。

• Max Attempts：管理画面へのログインミスの上限回数。上限回数にはURL Access Keyのミスもカウントされるため、実質的には管理画面URLの入力ミス上限回数。上限回数に達すると、攻撃者のIPアドレスにTime Penaltyがかかる。デフォルトは5回。
• Time Penalty：攻撃者のIPアドレスにアクセスブロックをかける時間。分単位で設定。デフォルトは5分。
• Penalty Multiplier：Time Penalty回数に応じたTime Penalty時間の係数。例えば、Time Penaltyが5分、Penalty Multiplierが2の場合、その攻撃者の2回目のTime Penalty時間は10分に、次は20分、その次は40分というように、5分×2の（Penalty回－１）乗ずつ増えていきます。デフォルトは1。

上記の数値を上げておくほど攻撃回数を減らす効果が期待できます。ただし、サイトオーナー自身がURL Access Keyを間違えてもペナルティがかかることにご注意ください。
なお、URL Access Keyも含めた管理画面の入力ミス回数が3回に達すると、警告メールが届きます。

これで攻撃者のIPアドレスを特定できます。ただし、サイトオーナー自身のミスが3回続いても上記のようなメールが届きます。くれぐれも自分自身をブロックしないようにご注意ください。URL Access Keyも含めた管理画面の入力ミス回数がMax Attemptsの回数に達すると、ブルートフォース攻撃検知メールが届きます。

たいてい1回目のTime Penaltyでブルートフォース攻撃がおさまることが多いですが、2回以上検知されたIPアドレスはブロックしておいたほうがよいでしょう。

または、予めPenalty Muliplierを2以上に引き上げておけば、攻撃側のプログラムにもエラーが出まくると考えられるため、連続攻撃しにくくなるはずです。