Traffic Inspectorの概要
Traffic Inspectorは、悪意のあるHTTPリクエストを分析してブロックすることでWordPressを保護する、高度なコンテキスト認識型Webアプリケーションファイアウォール(WAF)です。
English version: Traffic Inspector in a nutshell
Traffic Inspector は、受信した HTTP リクエストを分析し、疑わしいリクエストを認識して、Web サイトに損害を与える前にブロックします。このセキュリティ アルゴリズムはデフォルトで有効になっており、ほとんどの場合、設定は必要ありません。
Traffic Inspector を有効にすると、ファイアウォールは悪意のある、または潜在的に有害なリクエストを分析してブロックします。これには、フォームの送信、GET および POST パラメータを含むリクエスト、PHP スクリプトへのリクエストが含まれます。
ファイアウォールが悪意のある、または有害である可能性のあるリクエストを検出すると、WP Cerber は IP アドレスをブロックし、リクエストの処理は中止され、403 アクセス禁止応答が生成されます。このようなイベントはアクティビティ ログに記録され、トラフィック ログが有効になっている場合は、リクエストの詳細がライブ トラフィック ログに記録されます。
パフォーマンスオーバーヘッドはほとんどまたは全くない
WP Cerber は、パフォーマンスとセキュリティを考慮して設計されています。WP Cerber のファイアウォールは、訪問者のブラウザや検索エンジンのクローラーが行う通常の WordPress ページへの通常のリクエストを検査したりブロックしたりしないため、WordPress のパフォーマンスを低下させたり、ウェブサイトの SEO ランキングや検索エンジンのインデックス作成に影響を与えたりしません。
検査されずブロックされないリクエスト
- ホワイトアクセスリストの使用が有効になっている場合、ホワイトアクセスリスト内の IP アドレスからのリクエスト
- リクエストホワイトリスト設定フィールドでホワイトリストに登録されているリクエスト
- 通常のWordPressページ、投稿、カテゴリ、タグへのリクエスト
特定のリクエストを検査から除外するにはどうすればよいですか?
場合によっては、特にカスタマイズされた WordPress 環境がある場合や、特定の API を利用するプラグインがある場合、ファイアウォールによる検査なしで特定の PHP スクリプトへのアクセスを許可する必要があることがあります。この場合、プラグインが正当なリクエストを認識して「脆弱なコードの調査」としてマークする場合は、例外を構成する必要があります。
詳細: 「脆弱なコードを調査しています」というメッセージが表示されます。
あるいは、特定の IP アドレスからのすべてのリクエストを許可することもできます。
- 信頼するIPアドレスをホワイトIPアクセスリストに追加する
- トラフィックインスペクターの設定ページに移動し、ホワイトIPアクセスリストの使用を有効にします。
方法…
トラフィックインスペクターを無効にする方法
検査を完全にオフにするには、トラフィック インスペクターの設定ページに移動し、トラフィック検査を有効にするを無効にします。注: この操作は推奨されません。これを行うと、WordPress の重要な保護レイヤーがオフになります。PHP スクリプトで問題が発生した場合は、上記のようにホワイトリストの要求設定を使用してください。
WordPress にカスタム ログイン URL を使用する必要がある理由
禁止されているログインのリストを使用してボットやロボットを捕捉する方法
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
How to whitelist users? I.e. I have the situation that wpcerber is blocking ajax calls from Thrive Themes editors. This would be ok for every public request, but I should not be blocked when I am logged in.
The plugin doesn’t block standard AJAX requests. So it means Thrive Themes editor generates its own non-standard AJAX requests. You should ask the Thrive Themes editor developer for assistance. If the developer is not capable to help you, drop me a screenshot of the Activity log with those blocked AJAX requests on the support forum: https://wordpress.org/support/plugin/wp-cerber