WP Cerberによる強力なログインセキュリティ
English version: Strong login security with WP Cerber
悪意のある攻撃者が、ブルートフォース攻撃を仕掛けることで、インストールしたばかりのWordPressに数分以内に侵入できることは周知の事実です。これは、WordPressに攻撃対策機能が組み込まれていないこと、デフォルトのログインURLが広く知られていること、そしてウェブサイト管理者のユーザー名が容易に特定できることが原因です。WP Cerberは、ブルートフォース攻撃を軽減し、ユーザーアカウントを保護するために必要なすべてのツールを提供します。
WP Cerberのログインセキュリティ設定を構成する
ログインセキュリティ設定は、「メイン設定」タブにあります。ここでは、ログイン試行回数の制限、wp-login.phpへのアクセス制限、存在しないユーザー名やメールアドレスを使用した場合にユーザー名やメールアドレスが特定されないようにするためのエラーメッセージの設定を行うことができます。
ブルートフォース攻撃を軽減するためにログイン試行回数を制限する
スクリーンショットでは、ログイン試行回数を制限するためのデフォルト設定と推奨設定が「#1」で強調表示されています。これらの設定は、WP Cerberを有効化した際に自動的に設定されます。例えば、WooCommerceストアを運営している場合など、ウェブサイトに多くの顧客がいる場合は、ログイン試行回数の制限を増やすのが賢明です。
WordPress Login Security – WP Cerber Settings
wp-login.phpの認証リクエストを処理しています
選択肢2を参照してください。デフォルトでは、WordPressはwp-login.phpをウェブサイトのログインページとして使用し、すべてのユーザーログインを処理するとともに、登録フォームとパスワードリセットフォームを提供します。カスタムログインURLを設定している場合は、wp-login.phpを無効にすることをお勧めします。2つのオプションがあります。wp-login.phpへのアクセスを完全にブロックして、誰もファイルにアクセスできないようにするか、ファイルへのアクセスをブロックせずにwp-login.phpを介したユーザー認証を無効にすることができます。どちらのオプションでも選択できます。どちらのオプションでも、wp-login.phpを介したユーザー認証は防止されます。
最初のオプションを有効にすると、WP Cerberはウェブサイト上に該当ファイルが存在しないかのように「404 Page Not Found」エラーページを表示して返します。そのため、悪意のある攻撃者は攻撃対象を失ってしまいます。
2番目のオプションを有効にすると、WP Cerberは正しいユーザー名とパスワードを入力してもユーザー認証を一切拒否します。つまり、wp-login.phpを使用してログインすることはできません。wp-login.php経由でログインしようとすると、WP Cerberは標準のWordPress認証プロセスを模倣したデフォルトのパスワードエラーメッセージを表示します。この方法により、WP Cerberはwp-login.phpを検出ハニーポットとして使用することで、低速なブルートフォース攻撃を検出できます。wp-login.php経由でのログイン試行はすべて、以下のスクリーンショットに示すように、WP Cerberのアクティビティログに記録されます。
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
悪意のある人物が実際のユーザー名や顧客のメールアドレスを発見するのを防ぐ
WordPressがデフォルトで生成するログインおよびパスワードリセットのエラーメッセージは非常に冗長であり、ハッカーが実際のユーザー名やメールアドレスを特定し、ブルートフォース攻撃やソーシャルエンジニアリング攻撃に利用するのに役立ちます。
デフォルトのログインエラーメッセージを無効にする
有効にすると、存在しないユーザー名やメールアドレスでログインしようとした場合でも、ログインエラーメッセージに無効なユーザー名やメールアドレスは表示されません。代わりに、WP Cerber は、ユーザーが誤ったパスワードを入力した場合に使用される WordPress のデフォルトのエラーメッセージを表示します。これにより、悪意のあるユーザーが有効なユーザー名やメールアドレスを推測することを防ぎます。この方法は、ログインヒントの無効化とも呼ばれます。
WP Cerberのプロフェッショナル版では、 「カスタムログインエラーメッセージ」設定フィールドを使用して、独自のログインエラーメッセージを指定できます。
デフォルトのパスワードリセットエラーメッセージを無効にする
この機能を有効にすると、存在しないユーザー名または存在しないメールアドレスでパスワードをリセットしようとした場合でも、パスワードリセットのエラーメッセージに無効なユーザー名やメールアドレスが表示されません。代わりに、WP Cerber はパスワードリセットのデフォルトプロセスを模倣し、ユーザーが有効なユーザー名または存在しないユーザー名やメールアドレスを入力するたびに、次のメッセージを表示します。
The new WordPress password reset message generated by WP Cerber Security
この方法は、悪意のある人物が有効なユーザー名を推測するのを防ぐのに役立ち、パスワードリセットのヒントを無効にするものとして知られています。
WP Cerberのプロフェッショナル版では、 「カスタムログインエラーメッセージ」設定フィールドを使用して、独自のパスワードリセットエラーメッセージを指定できます。
上記のすべての機能は、ホワイトIPアクセスリストのIPアドレスには適用されないことに注意してください。
WP Cerber Security 8.5.8
マルウェアスキャナーの問題のトラブルシューティング
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.