不正ログイン(ブルートフォースアタック)対策で便利なJoolma 3バージョンシステム
CMSのサイトは、必ず、管理画面にログインする必要がある。
ハッカーは、システムの脆弱性だけを狙うのではなく、不正ログインが出来るようにブルートフォースアタックを今も行っている。
サイト運営者は、攻撃が見えていないためサイトが攻撃されているのが分からない。
ブルートフォースアタック(不正ログイン攻撃)は、プログラムで管理画面URLが分かっているCMSをターゲットにしている。
Word Pressサイトならば、
http://サイトドメイン/wp-login.php
Joomlaサイトならば、
http://サイトドメイン/adminstrator/index.php
Word Press、Joomlaユーザーならばだれでも知っている管理画面ログインURLである。それ故、ハッカーはこのURLを使って不正ログイン攻撃を行う。
サイトのセキュリティに無頓着なサイト運営者は、時間の問題でIDとPasswordを解読されてしまう。
これらの攻撃は、もう、日常的に行われているので何らかの対策を実施する必要がある。一般的なやり方は、Basic認証の壁を管理画面ログインページに設定することである。
ただ、これだけでは完全ではない。この壁も時間の問題で突破される。
最終的に知られている管理画面ログインURLを別のURLに変えてしまうことである。Word PressもJoomlaもこれが出来るプラグインやエクステンションがある。
最近登場したJoomla 3バージョンでは、標準で不正ログイン攻撃をブロックする機能が備わっている。Googleが提供している2段階認証機能である。
管理画面ログインページにシークレットキーを入れることになる。シークレットキーは、アンドロイド端末にインストールした2段階認証アプリから提供されるワンタイムパスワードである。
そのため、プログラムで何度もIDやPasswordを解読する試みも無駄になるようになる。
サイトの不正ログイン問題を抱えている会社、新規にCMSサイトを求めている会社、サイトのセキュリティを重視している会社は、一度、Joomla 3を検討してみてはどうだろうか。