WP CerberでWordPressのセキュリティを強化する

English version: Hardening WordPress with WP Cerber

提案されている設定はすべて、インターネット上のほとんどのウェブサイトで強く推奨されるものです。何らかの理由で、このページに記載されている機能や特徴を特定のコンピュータまたはIPネットワークからアクセスできるようにする必要がある場合は、それらをホワイトIPアクセスリストに追加する必要があります。

REST APIを無効にする

このプラグインは、WordPress REST APIへのアクセスを制限します。WordPressのコア部分に目に見えないリクエストを送信できる機能は、XML-RPCを使ったウェブサイトのハッキングよりもハッカーにとって魅力的なものです。WordPress REST APIを使用していない場合は、無効にしてください。

認証済みのWordPressユーザーであれば誰でも制限なくREST APIを使用できるようにするには、 「ログインユーザーに対するREST APIの使用を許可する」にチェックを入れてください。

詳細な手順： WordPress REST APIへのアクセスを制限する

WordPress REST APIへのアクセスを制限することが重要な理由

XML-RPCを無効にする

このプラグインは、Pingbacks や Trackbacks を含む XML-RPC サーバーへのアクセスをブロックします。ハッカーがこの隠された入り口を使って、ログイン情報をこっそり見つけ出していることをご存知ですか? ボットから保護するために、ログイン フォームにCAPTCHAまたはreCAPTCHA を設置していますか? 馬鹿げたことを言わないでください。最新のボットは XML-RPC と WP REST API を使用してWordPress をブルートフォース攻撃しており、XML-RPC リクエストには CAPTCHA が機能しないため、いつどのように攻撃が行われているのかさえわかりません。最近では、XML-RPC はハッカーを喜ばせ、彼らはそれをとても気に入っています。この設定を有効にすると、ホワイト IP アクセス リストを持つホストを例外として設定しない限り、Web サイトはすべての XML-RPC リクエストに対して 404 Page Not Found を返します。

注： wordpress.comとの通信が必要なJetpackプラグインを使用している場合は、XML-RPCを無効にしないでください。

ユーザー列挙を停止する

このプラグインは、/?author=N のような特別な著者ページへのアクセスや、REST API を介したユーザーデータの取得をブロックします。侵入者やハッカーは、1 から任意の番号までをスキャンするだけで、ウェブサイト上のすべてのユーザーのログイン情報を簡単に取得できます。この動作は WordPress の設計上有効になっており、世界中のハッカーが好んで利用しています。この設定を有効にすると、ウェブサイトは 404 Page Not Found を返します。

フィードを無効にする

このプラグインは、RSS、Atom、およびRDFフィードへのアクセスをブロックします。これにより、ハッカーがウェブサイトにインストールされているソフトウェアの種類を特定したり、WordPressへの攻撃を仕掛けるための追加情報を収集したりすることを防ぎます。この設定を有効にすると、ウェブサイトは「404 Page Not Found」エラーを返します。

注：上記の設定はすべてホワイトIPアクセスリストに登録されているホストには影響しません。たとえば、自宅のコンピュータのIPアドレスをホワイトIPアクセスリストに追加するだけで、XML-RPC経由での投稿を簡単に許可できます。

ウェブサーバーへのルートアクセス権がある場合は、以下のヒントを使用することをお勧めします: WP CerberとNGINXを使用したWordPressのセキュリティ強化