WP Cerber で WordPress を強化する

English version: Hardening WordPress with WP Cerber

提案されている設定はすべて、インターネット上のほとんどの Web サイトで強く推奨されています。何らかの理由で、特定のコンピューターまたは IP ネットワークからこのページに記載されている機能にアクセスできるようにする必要がある場合は、それらをホワイト IP アクセス リストに追加する必要があります。

REST APIを無効にする

このプラグインは、WordPress REST API へのアクセスを制限します。WordPressのコアに目に見えないリクエストを送信できる機能は、XML-RPC を使用して Web サイトをハッキングできる機能よりもハッカーにとって喜ばしいものです。WordPress REST API を使用しない場合は、無効にしてください。

承認された WordPress ユーザーが制限なく REST API を使用できるようにするには、 「ログインしたユーザーに REST APIを許可する」をオンにします。

詳細な手順: WordPress REST APIへのアクセスを制限する

WordPress REST APIへのアクセスを制限することが重要な理由

XML-RPCを無効にする

このプラグインは、ピンバックやトラックバックを含む XML-RPC サーバーへのアクセスをブロックします。ハッカーがこの隠し入り口を利用してこっそりログイン情報を見つけ出すことをご存知ですか? ボットから保護するために、ログイン フォームにCAPTCHAまたはreCAPTCHA を設定していますか? 馬鹿なことは言わないでください。最近のボットは、 WordPress をブルートフォース攻撃するために XML-RPC と WP REST API を使用します。CAPTCHA は XML-RPC リクエストには機能しないため、ボットがいつどのようにそれを実行するのかさえわかりません。今日では、XML-RPC はハッカーを喜ばせ、ハッカーはそれを大いに気に入っています。この設定を有効にすると、ホワイト IP アクセス リストを持つホストに対して例外を作成しない限り、Web サイトは XML-RPC リクエストに対して 404 ページが見つかりません を返します。

注意: wordpress.com と通信する必要があるJetpackプラグインを使用する場合は、XML-RPC を無効にしないでください。

ユーザーの列挙を停止

このプラグインは、/?author=N のような特別な著者ページへのアクセスと、REST API 経由でユーザーデータを取得する機能をブロックします。侵入者やハッカーは、1 から任意の数字までをスキャンするだけで、Web サイト上のすべてのユーザーのログイン情報を簡単に取得できます。この動作は WordPress で設計により有効になっており、世界中のハッカーがこれを大いに利用しています。この設定を有効にすると、Web サイトは 404 ページが見つかりません を返します。

フィードを無効にする

このプラグインは、RSS、Atom、RDF フィードへのアクセスをブロックします。これにより、ハッカーは Web サイトにインストールされているソフトウェアの種類を調べたり、WordPress へのさらなる攻撃を調整するための追加の有用な情報を収集したりできなくなります。この設定を有効にすると、Web サイトは 404 ページが見つかりませんを返します。

注:上記のすべての設定は、ホワイト IP アクセス リスト内のホストには影響しません。そのため、ホワイト IP アクセス リストに自宅のコンピューターの IP アドレスを追加するだけで、たとえば、XML-RPC 経由で投稿を公開することなどを簡単に許可できます。

ウェブサーバーにルートアクセス権がある場合は、次のヒントを使用することをお勧めします: WP Cerber と NGINX で WordPress を強化する