一言で言えば交通検査官
Traffic Inspector は、悪意のある HTTP リクエストを分析してブロックすることで WordPress を保護する、高度なコンテキスト認識 Web アプリケーション ファイアウォール (WAF) です。
English version: Traffic Inspector in a nutshell
Traffic Inspector は受信 HTTP リクエストを分析し、疑わしいものを認識して、Web サイトに損害を与える前にブロックします。このセキュリティ アルゴリズムはデフォルトで有効になっており、ほとんどの場合、設定は必要ありません。
Traffic Inspector が有効になっている場合、ファイアウォールは悪意のある要求や有害な可能性のある要求を分析してブロックします。これらには、フォーム送信、GET および POST パラメーターを使用したリクエスト、PHP スクリプトへのリクエストが含まれます。
ファイアウォールが悪意のある、または有害である可能性のある要求を検出すると、WP Cerber は IP アドレスをブロックし、要求の処理を中止して、403 Access Forbidden 応答を生成します。このようなイベントはアクティビティ ログに記録され、トラフィック ログが有効になっている場合は、リクエストの詳細がライブ トラフィック ログに記録されます。
パフォーマンスのオーバーヘッドがほとんどまたはまったくない
WP Cerber は、パフォーマンスとセキュリティを考慮して設計されています。 WP Cerber のファイアウォールは、WordPress のパフォーマンスを低下させず、Web サイトの SEO ランキングや検索エンジンのインデックスに影響を与えません。ファイアウォールは、訪問者のブラウザや検索による通常の WordPress ページへの通常のリクエストを検査したりブロックしたりしないためです。エンジンのクローラーが行います。
検査もブロックもされないリクエスト
- ホワイト アクセス リストの使用が有効になっている場合、ホワイト アクセス リストの IP アドレスからのリクエスト
- リクエスト ホワイトリスト設定フィールドでホワイトリストに登録されているリクエスト
- 通常の WordPress ページ、投稿、カテゴリ、タグへのリクエスト
特定のリクエストを検査から除外する方法は?
特にカスタマイズされた WordPress 環境や、特定の API を利用するプラグインがある場合、ファイアウォールによる検査なしで特定の PHP スクリプトへのアクセスを許可する必要がある場合があります。この場合、プラグインが正当なリクエストを「脆弱なコードのプローブ」として認識してマークする場合は、例外を構成する必要があります。
続きを読む: 「脆弱なコードを調査しています」 .
または、特定の IP アドレスからのすべてのリクエストを許可できます。
- 信頼する IP アドレスをWhite IP Access Listに追加します
- Traffic Inspector の設定ページに移動し、 Use White IP Access Listを有効にします。
方法…
Traffic Inspector を無効にする方法
インスペクションを完全にオフにするには、 [Traffic Inspector Settings]ページに移動し、[ Enable traffic inspect] を無効にします。注: WordPress に不可欠な保護レイヤーを無効にすることはお勧めしません。 PHP スクリプトで問題が発生した場合は、上記の[ホワイトリストのリクエスト]設定を使用してください。
How to whitelist users? I.e. I have the situation that wpcerber is blocking ajax calls from Thrive Themes editors. This would be ok for every public request, but I should not be blocked when I am logged in.
The plugin doesn’t block standard AJAX requests. So it means Thrive Themes editor generates its own non-standard AJAX requests. You should ask the Thrive Themes editor developer for assistance. If the developer is not capable to help you, drop me a screenshot of the Activity log with those blocked AJAX requests on the support forum: https://wordpress.org/support/plugin/wp-cerber