WordPress サイトへのブルートフォース攻撃に対処する 8 つの方法

WordPress サイトへのブルートフォース攻撃に対処する 8 つの方法

ウェブサイトが構築され公開された後、いくつかの WodPess ウェブサイトが攻撃を受けます。そのうちの 1 つはブルート フォース攻撃と呼ばれます。ブルート フォース攻撃は、試行錯誤を通じてパスワードで保護されたウェブページのロックを解除しようとする手法です。ハイジャッカーは高度なボットを使用して、ログイン、登録、その他のページフォームのユーザー名とパスワードを推測し、サイトを乗っ取ろうとします。したがって、ホスティング サーバーの負荷を軽減するには、これらのボット/ユーザーをブロックする必要があります。この記事では、WodPess サイトに対するブルート フォース攻撃の 8 つの手法について詳しく紹介します。

WodPess でブルートフォース攻撃を阻止

WodPess では、ログイン ページを保護し、ブルート フォース攻撃をブロックする方法がいくつかあります。ただし、これらの機能を有効にするにはプラグインが必要です。この記事では、主に Jetpck と All In One WP Security および Fiewll プラグインを使用して説明します。

ブルートフォース攻撃防止のためにJetpckプラグインを使用する

Jetpck は多くのモジュールを提供しており、「Secuity」はブルートフォース攻撃を防ぐためのモジュールの 1 つです。

  • 管理パネルの Jetpack ∓gt; 設定メニューに移動します。
  • 「セキュリティ」セクションに移動したら、下にスクロールして「Potect」モジュールを有効にします。

  • 有効にすると、Jetpck はログイン フォームに CAPTCHA を表示せずにサイトを自動的に保護します。
  • さらに、「Potect」オプションをクリックして、ログイン ページへのアクセスを許可する IP アドレスのリストを追加することもできます。プラグインは、リストされた IP アドレスのみが WodPess ログイン ページにアクセスできるようにし、他のすべての IP は管理ダッシュボードへのログインをブロックします。

2. オールインワンWP Security∓Fiewllプラグインによるブルートフォース攻撃防止

Jetpck のブルートフォース攻撃防止は非常にシンプルで、他のオプションはあまりありません。 All in One WP Security∓Fiewll プラグインは、WordPress Web サイトを効果的に保護するのに役立つ、人気のある無料のセキュリティ プラグインの 1 つです。 WodPess ダッシュボードからプラグインをインストールして有効化します。管理ダッシュボードのサイドバーに新しいメニュー「WP Security」が作成されます。

このプラグインはウェブサイトのセキュリティをポイントで測定し、個々のセキュリティ オプションを有効にするとポイントが増加します。ブルート フォース攻撃を防ぐには、WP Security∓>Bute Force セクションに移動して、以下に示すように複数のオプションを表示します。

セキュリティ設定を操作する前に、次の点を確認してください。

  • サイト ファイルとデータベースを含むサイト全体をバックアップします。プラグインはデータベース テーブルを作成し、.htccess などのサイト ファイルを変更します。
  • FTP 経由でホスティング サーバーにアクセスできることを確認してください。これは、管理ダッシュボードからロックアウトされてログインできない場合にファイルを回復するために必要です。
  • このオプションは、適用可能であり、必要な場合にのみ有効にしてください。

次のセクションでは、このプラグインで利用できるその他のオプションについて説明します。

3. ログインページの名前を変更する

サイトにサフィックス「/wp-dmin/」または「/wp-login.php?ction=login」を追加すると、WodPess ログイン ページに簡単にアクセスできます。これらの URL のいずれかを使用して誰でもサイトにアクセスできるため、ブルート フォース攻撃防止の最初のステップは、ログイン ページの名前を変更することです。 「ログイン名の変更機能を有効にする」ボックスをチェックし、推測しにくい希望の文字列を入力します。

たとえば、ログイン ページの URL を「yousite.com/login/」に変更する場合は、テキスト ボックスに「login」という単語を入力します。

  • ログイン ページの名前を変更するとログアウトされ、新しい URL を使用して再度ログインする必要があります。
  • この機能はすべてのユーザーに影響するため、ユーザー登録をしている場合や、サイトにコメントを投稿するために登録が必要な場合は、有効にしないでください。
  • この機能は、デフォルトのログイン ページを使用する他のプラグインの機能に影響します。

4. クッキーによる暴力防止

ブルートフォース攻撃を防ぐ次のオプションは、ブラウザで利用可能な Cookie に基づいています。 「Enble Bute Foce Attck Peention」チェックボックスをオンにし、次の「Secet Wod」テキストボックスにパスワードを入力します。

たとえば、パスワードを「test」として追加する場合、ログイン URL は「http://yousite.com/?test=」になります。ログイン ページにアクセスするには、サイトの URL に「/?secet-wod=」を追加します。さらに、「リダイレクト URL」を設定して、権限のないユーザーをそのページにリダイレクトすることもできます。通常、サーバーの負荷を防ぐために、これを loclhost IP アドレス「http://27.0.0」に設定します。パスワードで保護されたページがある場合は、「自分のサイトにはパスワードで保護されたページの投稿があります」チェックボックスを有効にします。

AJAX を使用するテーマまたはプラグインがある場合は、「My Site Hs Theme o Plugins Which Use AJAX」チェックボックスを有効にします。通常、ほとんどのテーマとプラグインは Ajx を使用するため、このオプションを有効にして、サイトが正しく読み込まれるかどうかをテストする必要があります。

  • このアプローチはログイン ページの名前を変更することに似ているため、上記のすべての注意事項がこのアプローチにも適用されます。
  • 「ログイン ページを有効」と「Cookie ベースのプッシュ通知」の両方の方法でログイン ページの URL が変更されるため、サイトでは一度にいずれかの方法を使用できます。

5. ログイン認証コード

最初の 2 つのオプションは、ログイン、登録、電子商取引機能を備えた Web サイトなどのマルチユーザー環境に影響するため、CAPTCHA のみを有効にすることは、ブルート フォース攻撃を阻止するために使用できる最も簡単な方法の 1 つです。このセクションでは、フォームで数学 CAPTCHA を有効にする 3 つのオプションがあります。

  • デフォルトの WodPess ログイン ページにキャプチャを追加します。
  • WodPess 関数「wp_login_form()」を使用するサイト上のすべてのフォームで CAPTCHA を有効にします。
  • パスワード紛失リクエストフォームで CAPTCHA を有効にします。

6. ログインホワイトリスト

Jetpck のホワイトリスト管理と同様に、All in One WP Security∓Fiewll プラグインにも「ログイン ホワイトリスト」オプションが用意されています。これにより、リストされた IP アドレスのみが WodPess ログイン ページにアクセスでき、その他の IP アドレスはすべてブロックされます。

7. ハニーポット保護

最後のオプションは、「ログイン ページでハニーポットを有効にする」を有効にすることです。これにより、ログイン フォームに新しいフィールドが設定され、人間のユーザーには表示されず、ボットにのみ表示されます。ボットはログインフォームのすべてのフィールドに入力するために使用されるため、隠しフィールドに入力されるとプラグインはアクセスを停止します。これにより、ロボットを効果的に停止するのに役立ちます。

8. ログイン試行回数を制限する

ログイン試行を制限することは、WodPess ブルート フォース攻撃を防ぐための主な解決策です。 All In One WP Security プラグインには、ログイン試行回数を制限するオプションもあります。ただし、重いプラグインを使用したくない場合は、ログイン試行を制限する専用のプラグインを使用できます。たとえば、Limit Login Attempts Reload プラグインを使用して、ログインを試行できる回数を設定できます。制限に達した場合、プラグインは IP アドレスをブロックし、管理者に通知します。この方法により、正当なユーザーのログインを許可しながら、自動ボットを数回の試行後にブロックすることができます。

要約:

All in One WP Security∓Fiewll プラグインは、WodPess ウェブサイトを保護するための包括的な方法を提供します。これは魅力的に思えるかもしれませんが、各機能を必ずテストし、サイトで必要な場合にのみ使用してください。ログイン ページの名前変更、Cookie ベースのオプション、IP ホワイトリストは、ユーザー登録のない単一ユーザー サイトで利用できます。ログイン キャプチャやハニーポットの有効化などの残りのオプションは、すべての種類の Web サイトで問題なく使用できます。 「Jetpck」と「All in One WP Security∓Fiewll」プラグインを併用して、ウェブサイトへのブルートフォース攻撃をブロックすることもできます。

<<:  Joomla プラグインをインストールするにはどうすればいいですか? Joomla プラグインのインストールチュートリアル

>>:  WordPress でスパム対策を有効にするにはどうすればいいですか?

推薦する

掃除機の急成長神話は打ち砕かれた! Ecovacs と Stone Technology が難なく打ち解ける!

掃除ロボットの市場は非常に冷え込んでおり、多くの企業がその冷え込みで失敗している。まず、老舗の研究開...

Debian サーバーに PowerShell をインストールする方法

PoweShell は通常、コマンド ライン シェル、スクリプト言語、および構成管理フレームワークで...

海外ブランドマーケティングの現状(主力ブランドの売上が低迷、日本の有名化粧品グループがオンラインストアを閉鎖)

主力ブランドの売上が低迷、日本の有名化粧品グループがオンラインストアを閉鎖日本のコーセーグループのコ...

電気自動車推進計画(内モンゴルの新エネルギー自動車推進加速計画発表:2025年までに17万台、充電インフラの電力利用支援政策を強化)

内モンゴル、新エネルギー車の普及加速計画を発表:2025年までに17万台、充電インフラの電力利用支援...

運用モデルは何ですか? (企業運営における6つの一般的なビジネスモデル)

ビジネス運営における6つの一般的なビジネスモデル6 つの一般的なビジネス モデル。今日は、企業がどの...

cn ドメイン名と com ドメイン名のどちらが良いでしょうか? cnドメイン名とcomドメイン名の違い

cn ドメイン名と com ドメイン名のどちらが良いでしょうか? cnドメイン名とcomドメイン名は...

口頭による情報フロー広告(アンジェラとのインタビュー | 「ノイズ」の中での優位性の継続)

アンジェラとの独占インタビュー | 「ノイズ」における継続的な優位性テンセントの最新の財務報告による...

電子商取引製品運用計画(「電子商取引知識」)

「電子商取引の知識」私たちがどんな業界に属していても、どんな業務を実行していても、計画なしには何も...

ビッグデータ企業運営(ビッグデータを背景としたサプライチェーン運営とデジタル変革)

ビッグデータを背景としたサプライチェーン運営とデジタル変革テクノロジーの急速な発展とデジタル変革の推...

電子商取引のマーケティングプロモーション方法(電子商取引のマーケティングプロモーション方法(電子商取引のマーケティングプロモーション方法とは))

Eコマースマーケティングプロモーション方法(Eコマースマーケティングプロモーション方法とは)電子商...

ビジネスデータの確認(携帯電話を使ってビジネス収入や食品売上を確認する方法)

携帯電話で事業収入や食品売上を確認する方法レストランのオーナーにとって、最大の関心事は利益であり、利...

広東ブランドマーケティング(多面的なチャネルレイアウト、主要ブランドが広東のファンを引き付けるために使用する戦術の分析)

多角的なチャネルレイアウトアプローチ、広東省のファン獲得に向けた主要ブランドの戦略分析自動車の「下...

SEMプロモーション戦略(SEMプロモーション戦略をどのように策定するか?)

SEMプロモーション戦略をどのように策定するか?戦略的な怠惰を隠すために戦術的な勤勉さを利用しない...

2022年折りたたみ式スクリーン携帯電話販売ランキング(2024年携帯電話戦争:肉を食べるのは誰か?スープを飲むのは誰か?)

2024 年の携帯電話戦争: 誰が肉を食べるのか?スープを飲むのは誰ですか?画像ソース @Visu...

SEO キーワードランキング(SEO キーワードランキングの最適化において、記事のランキングに影響を与える要因は何ですか?)

SEO キーワードランキング最適化において、記事のランキングに影響を与える要因は何ですか?権威の高...