안녕하세요, 워드프레스 이용 초보자 입니다.
워드프레스로 3개 정도의 웹을 제작하여 사용하였는데,
이번에 처음으로 Brute Force 등 아이프레임 클릭재킹 등의 공격을 받아서 보안에 다시금 주의를 기울이고 있습니다.
혹시 고수님들께서는 이러한 Brute Force 공격을 왜 받게 되는지 이유를 알고 계시나요?
그리고 혹시 robots.txt가 스팸봇들의 공격을 더 증가시키는 원인이 될 수 있나요?
답변 부탁드립니다. 읽어주셔서 감사합니다!
고맙습니다!
robots.txt 파일과 보안 위협과는 큰 관계가 없어 보입니다.
무차별 대입 공격이란 비밀번호를 모르는 상태에서 1부터 999999번까지 하나씩 모두 입력을 해보는 공경이며 사람이 할 수도 있지만 보통 특정 프로그램이 실행하겠죠.
기본 로그인 페이지를 아예 차단하거나 로그인 페이지 주소를 바꿔보시는 것도 해볼 만한 방법인 듯합니다.
아니면 로그인 시 캡차 기능을 추가해두시면 더 좋을 듯합니다.
고맙습니다.
답변 감사합니다! 저는 아래와 같은 로봇txt를 사용하고 있습니다만, 이와 같은 로봇 txt 파일이 무차별 대입 공격을 만드는 원인이 있지않나해서 여쭤봅니다.
ithemes security 플러그인으로 brute force 공격을 막고 있습니다만, 이러한 보고를 계속 받아보는 것에 대해 좀 더 해결을 해보고자 질문 드렸습니다. 감사합니다!!
User-agent: *
Allow: /wp-content/uploads/
Disallow: /wp-admin/
Disallow: /readme.html
사이트맵
안녕하세요~^^
브루트 포스(Brute Force)는 무차별 대입 공격이라고도 불리며
가능한 모든 암호 조합을 무차별 시도하는 해킹 공격입니다.
정보 수집, 악성코드 침투, 기밀 정보 유출 등의 목적이 있습니다.
robots.txt 파일은 검색 엔진 크롤러에서 사이트에 요청할 수 있거나
요청할 수 없는 페이지 또는 파일을 크롤러에 지시하는 파일입니다.
크롤링하는 로봇 프로그램이 웹 사이트를 방문할 경우
먼저 robots.txt 파일을 찾게 됩니다.
만약, robots.txt 파일이 있을 경우 파일을 읽어 그 내용을 분석해서 수집해도 되는 콘텐츠만 수집하고
허락이 안 된 내용은 수집하지 않습니다.
또, robots.txt 파일에서 특정 검색봇만 허용할 수 있도록 설정할 수 있기 때문에
오히려 스팸 봇들의 공격을 줄일 수는 있습니다.
접근 방지 설정을 하였다고 해도, 다른 사람들이 그 파일에 접근할 수 있습니다.
아래 링크도 참고해보시겠어요?
https://server-talk.tistory.com/93
코스모스팜 회원관리 플러그인에서는 로그인 공격 보안 설정을 지원하고 있습니다.
무차별 대입 공격(Brute Force Attack)을 차단하기 위해
비밀번호를 연속해서 잘못 입력하면 잠시 동안 로그인을 차단하는 기능입니다.
워드프레스 관리자 -> 회원가입관리 -> 보안설정 페이지에서 설정하실 수 있습니다.
고맙습니다.