WP CerberでWordPressを強化する

English version: Hardening WordPress with WP Cerber

提案されている設定はすべて、インターネット上のほとんどのウェブサイトで強く推奨されます。何らかの理由で、特定のコンピューターまたはIPネットワークからこのページに記載されている機能へのアクセスを許可する必要がある場合は、それらをホワイトIPアクセスリストに追加する必要があります。

REST APIを無効にする

このプラグインはWordPress REST APIへのアクセスを制限します。WordPressコアに見えないリクエストを送信できる機能は、XML-RPCを使ってウェブサイトをハッキングするよりもハッカーにとって都合が良いものです。WordPress REST APIを使用しない場合は、無効化してください。

承認された WordPress ユーザーが制限なく REST API を使用できるようにするには、「ログインしたユーザーに REST API を許可する」をオンにします。

詳細な手順: WordPress REST APIへのアクセスを制限する

WordPress REST APIへのアクセスを制限することが重要な理由

XML-RPCを無効にする

このプラグインは、ピンバックやトラックバックを含むXML-RPCサーバーへのアクセスをブロックします。ハッカーがこの隠された入り口を利用して、ログイン情報をこっそりと見つけ出すことをご存知ですか？ボットから保護するために、ログインフォームにCAPTCHAまたはreCAPTCHAを設定していますか？馬鹿なことを言わないでください。最近のボットはXML-RPCとWP REST APIを使用してWordPressを総当たり攻撃します。CAPTCHAはXML-RPCリクエストには機能しないため、ボットがいつどのように行うのかさえわかりません。昨今のXML-RPCはハッカーを喜ばせ、彼らはそれを大いに気に入っています。この設定を有効にすると、ホワイトIPアクセスリストを持つホストに対して例外を設定しない限り、WebサイトはXML-RPCリクエストに対して404 Page Not Foundを返します。

注意: wordpress.com と通信する必要があるJetpackプラグインを使用する場合は、XML-RPC を無効にしないでください。

ユーザーの列挙を停止

このプラグインは、/?author=N のような特別な著者ページへのアクセスと、REST API 経由でのユーザーデータの取得をブロックします。侵入者やハッカーは、1 から任意の数字までをスキャンするだけで、ウェブサイト上のすべてのユーザーのログイン情報を簡単に取得できます。この動作は WordPress の設計によって有効になっており、世界中のハッカーに悪用されています。この設定を有効にすると、ウェブサイトは 404 ページが見つかりません というエラーを返します。

フィードを無効にする

このプラグインは、RSS、Atom、RDFフィードへのアクセスをブロックします。これにより、ハッカーがウェブサイトにインストールされているソフトウェアの種類を特定し、WordPressへのさらなる攻撃に必要な追加情報を収集することを阻止します。この設定を有効にすると、ウェブサイトは404ページが見つかりませんというエラーを返します。

注:上記のすべての設定は、ホワイト IP アクセス リスト内のホストには影響しません。そのため、ホワイト IP アクセス リストに自宅のコンピューターの IP アドレスを追加するだけで、たとえば XML-RPC 経由で投稿を公開することが簡単にできるようになります。

ウェブサーバーにルートアクセス権がある場合は、次のヒントを使用することをお勧めします: WP CerberとNGINXでWordPressを強化する