WordPress サイトへのブルートフォース攻撃に対処する 8 つの方法

ウェブサイトが構築され公開された後、いくつかの WodPess ウェブサイトが攻撃を受けます。そのうちの 1 つはブルート フォース攻撃と呼ばれます。ブルート フォース攻撃は、試行錯誤を通じてパスワードで保護されたウェブページのロックを解除しようとする手法です。ハイジャッカーは高度なボットを使用して、ログイン、登録、その他のページフォームのユーザー名とパスワードを推測し、サイトを乗っ取ろうとします。したがって、ホスティング サーバーの負荷を軽減するには、これらのボット/ユーザーをブロックする必要があります。この記事では、WodPess サイトに対するブルート フォース攻撃の 8 つの手法について詳しく紹介します。

WodPess でブルートフォース攻撃を阻止

WodPess では、ログイン ページを保護し、ブルート フォース攻撃をブロックする方法がいくつかあります。ただし、これらの機能を有効にするにはプラグインが必要です。この記事では、主に Jetpck と All In One WP Security および Fiewll プラグインを使用して説明します。

ブルートフォース攻撃防止のためにJetpckプラグインを使用する

Jetpck は多くのモジュールを提供しており、「Secuity」はブルートフォース攻撃を防ぐためのモジュールの 1 つです。

• 管理パネルの Jetpack ∓gt; 設定メニューに移動します。
• 「セキュリティ」セクションに移動したら、下にスクロールして「Potect」モジュールを有効にします。

• 有効にすると、Jetpck はログイン フォームに CAPTCHA を表示せずにサイトを自動的に保護します。
• さらに、「Potect」オプションをクリックして、ログイン ページへのアクセスを許可する IP アドレスのリストを追加することもできます。プラグインは、リストされた IP アドレスのみが WodPess ログイン ページにアクセスできるようにし、他のすべての IP は管理ダッシュボードへのログインをブロックします。

2. オールインワンWP Security∓Fiewllプラグインによるブルートフォース攻撃防止

Jetpck のブルートフォース攻撃防止は非常にシンプルで、他のオプションはあまりありません。 All in One WP Security∓Fiewll プラグインは、WordPress Web サイトを効果的に保護するのに役立つ、人気のある無料のセキュリティ プラグインの 1 つです。 WodPess ダッシュボードからプラグインをインストールして有効化します。管理ダッシュボードのサイドバーに新しいメニュー「WP Security」が作成されます。

このプラグインはウェブサイトのセキュリティをポイントで測定し、個々のセキュリティ オプションを有効にするとポイントが増加します。ブルート フォース攻撃を防ぐには、WP Security∓>Bute Force セクションに移動して、以下に示すように複数のオプションを表示します。

セキュリティ設定を操作する前に、次の点を確認してください。

• サイト ファイルとデータベースを含むサイト全体をバックアップします。プラグインはデータベース テーブルを作成し、.htccess などのサイト ファイルを変更します。
• FTP 経由でホスティング サーバーにアクセスできることを確認してください。これは、管理ダッシュボードからロックアウトされてログインできない場合にファイルを回復するために必要です。
• このオプションは、適用可能であり、必要な場合にのみ有効にしてください。

次のセクションでは、このプラグインで利用できるその他のオプションについて説明します。

3. ログインページの名前を変更する

サイトにサフィックス「/wp-dmin/」または「/wp-login.php?ction=login」を追加すると、WodPess ログイン ページに簡単にアクセスできます。これらの URL のいずれかを使用して誰でもサイトにアクセスできるため、ブルート フォース攻撃防止の最初のステップは、ログイン ページの名前を変更することです。 「ログイン名の変更機能を有効にする」ボックスをチェックし、推測しにくい希望の文字列を入力します。

たとえば、ログイン ページの URL を「yousite.com/login/」に変更する場合は、テキスト ボックスに「login」という単語を入力します。

• ログイン ページの名前を変更するとログアウトされ、新しい URL を使用して再度ログインする必要があります。
• この機能はすべてのユーザーに影響するため、ユーザー登録をしている場合や、サイトにコメントを投稿するために登録が必要な場合は、有効にしないでください。
• この機能は、デフォルトのログイン ページを使用する他のプラグインの機能に影響します。

4. クッキーによる暴力防止

ブルートフォース攻撃を防ぐ次のオプションは、ブラウザで利用可能な Cookie に基づいています。 「Enble Bute Foce Attck Peention」チェックボックスをオンにし、次の「Secet Wod」テキストボックスにパスワードを入力します。

たとえば、パスワードを「test」として追加する場合、ログイン URL は「http://yousite.com/?test=」になります。ログイン ページにアクセスするには、サイトの URL に「/?secet-wod=」を追加します。さらに、「リダイレクト URL」を設定して、権限のないユーザーをそのページにリダイレクトすることもできます。通常、サーバーの負荷を防ぐために、これを loclhost IP アドレス「http://27.0.0」に設定します。パスワードで保護されたページがある場合は、「自分のサイトにはパスワードで保護されたページの投稿があります」チェックボックスを有効にします。

AJAX を使用するテーマまたはプラグインがある場合は、「My Site Hs Theme o Plugins Which Use AJAX」チェックボックスを有効にします。通常、ほとんどのテーマとプラグインは Ajx を使用するため、このオプションを有効にして、サイトが正しく読み込まれるかどうかをテストする必要があります。

• このアプローチはログイン ページの名前を変更することに似ているため、上記のすべての注意事項がこのアプローチにも適用されます。
• 「ログイン ページを有効」と「Cookie ベースのプッシュ通知」の両方の方法でログイン ページの URL が変更されるため、サイトでは一度にいずれかの方法を使用できます。

5. ログイン認証コード

最初の 2 つのオプションは、ログイン、登録、電子商取引機能を備えた Web サイトなどのマルチユーザー環境に影響するため、CAPTCHA のみを有効にすることは、ブルート フォース攻撃を阻止するために使用できる最も簡単な方法の 1 つです。このセクションでは、フォームで数学 CAPTCHA を有効にする 3 つのオプションがあります。

• デフォルトの WodPess ログイン ページにキャプチャを追加します。
• WodPess 関数「wp_login_form()」を使用するサイト上のすべてのフォームで CAPTCHA を有効にします。
• パスワード紛失リクエストフォームで CAPTCHA を有効にします。

6. ログインホワイトリスト

Jetpck のホワイトリスト管理と同様に、All in One WP Security∓Fiewll プラグインにも「ログイン ホワイトリスト」オプションが用意されています。これにより、リストされた IP アドレスのみが WodPess ログイン ページにアクセスでき、その他の IP アドレスはすべてブロックされます。

7. ハニーポット保護

最後のオプションは、「ログイン ページでハニーポットを有効にする」を有効にすることです。これにより、ログイン フォームに新しいフィールドが設定され、人間のユーザーには表示されず、ボットにのみ表示されます。ボットはログインフォームのすべてのフィールドに入力するために使用されるため、隠しフィールドに入力されるとプラグインはアクセスを停止します。これにより、ロボットを効果的に停止するのに役立ちます。

8. ログイン試行回数を制限する

ログイン試行を制限することは、WodPess ブルート フォース攻撃を防ぐための主な解決策です。 All In One WP Security プラグインには、ログイン試行回数を制限するオプションもあります。ただし、重いプラグインを使用したくない場合は、ログイン試行を制限する専用のプラグインを使用できます。たとえば、Limit Login Attempts Reload プラグインを使用して、ログインを試行できる回数を設定できます。制限に達した場合、プラグインは IP アドレスをブロックし、管理者に通知します。この方法により、正当なユーザーのログインを許可しながら、自動ボットを数回の試行後にブロックすることができます。

要約:

All in One WP Security∓Fiewll プラグインは、WodPess ウェブサイトを保護するための包括的な方法を提供します。これは魅力的に思えるかもしれませんが、各機能を必ずテストし、サイトで必要な場合にのみ使用してください。ログイン ページの名前変更、Cookie ベースのオプション、IP ホワイトリストは、ユーザー登録のない単一ユーザー サイトで利用できます。ログイン キャプチャやハニーポットの有効化などの残りのオプションは、すべての種類の Web サイトで問題なく使用できます。 「Jetpck」と「All in One WP Security∓Fiewll」プラグインを併用して、ウェブサイトへのブルートフォース攻撃をブロックすることもできます。