Traffic Inspectorの概要
Traffic Inspectorは、悪意のあるHTTPリクエストを分析してブロックすることでWordPressを保護する、高度なコンテキスト認識型Webアプリケーションファイアウォール(WAF)です。
English version: Traffic Inspector in a nutshell
Traffic Inspectorは、受信HTTPリクエストを分析し、疑わしいリクエストを検知して、ウェブサイトに損害を与える前にブロックします。このセキュリティアルゴリズムはデフォルトで有効になっており、ほとんどの場合、設定は不要です。
トラフィックインスペクターを有効にすると、ファイアウォールは悪意のある、あるいは潜在的に有害なリクエストを分析してブロックします。これには、フォームの送信、GETおよびPOSTパラメータを含むリクエスト、PHPスクリプトへのリクエストが含まれます。
ファイアウォールが悪意のある、または有害である可能性のあるリクエストを検出した場合、WP Cerber は該当の IP アドレスをブロックし、リクエストの処理を中止して 403 アクセス禁止レスポンスを生成します。これらのイベントはアクティビティログに記録され、トラフィックログが有効になっている場合は、リクエストの詳細がライブトラフィックログに記録されます。
パフォーマンスのオーバーヘッドはほとんどまたは全くない
WP Cerberは、パフォーマンスとセキュリティを考慮して設計されています。WP Cerberのファイアウォールは、訪問者のブラウザや検索エンジンのクローラーが通常のWordPressページに対して行う通常のリクエストを検査したりブロックしたりしないため、WordPressのパフォーマンスを低下させたり、ウェブサイトのSEOランキングや検索エンジンのインデックス作成に影響を与えたりしません。
検査されずブロックされないリクエスト
- ホワイト アクセス リストの使用が有効になっている場合、ホワイト アクセス リスト内の IP アドレスからのリクエスト
- リクエストホワイトリスト設定フィールドでホワイトリストに登録されているリクエスト
- 通常のWordPressページ、投稿、カテゴリ、タグへのリクエスト
特定のリクエストを検査から除外するにはどうすればよいでしょうか?
特にカスタマイズされたWordPress環境を使用している場合や、特定のAPIを利用するプラグインを使用している場合など、ファイアウォールによる検査を通過せずに特定のPHPスクリプトへのアクセスを許可する必要があることがあります。この場合、プラグインが正当なリクエストを認識して「脆弱なコードの調査中」とマークした場合は、例外を設定する必要があります。
詳細: 「脆弱なコードを調査しています」というメッセージが表示されます。
あるいは、特定の IP アドレスからのすべてのリクエストを許可することもできます。
- 信頼するIPアドレスをホワイトIPアクセスリストに追加する
- トラフィックインスペクターの設定ページに移動し、 「ホワイトIPアクセスリストを使用する」を有効にします。
方法…
トラフィックインスペクターを無効にする方法
検査を完全に無効にするには、トラフィックインスペクターの設定ページに移動し、 「トラフィック検査を有効にする」を無効にしてください。注:この方法は推奨されません。これを行うと、WordPressにとって重要な保護レイヤーが無効になります。PHPスクリプトで問題が発生した場合は、上記のように「リクエストのホワイトリスト」設定を使用してください。
プラグインなしでログイン試行を制限しますか?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
How to whitelist users? I.e. I have the situation that wpcerber is blocking ajax calls from Thrive Themes editors. This would be ok for every public request, but I should not be blocked when I am logged in.
The plugin doesn’t block standard AJAX requests. So it means Thrive Themes editor generates its own non-standard AJAX requests. You should ask the Thrive Themes editor developer for assistance. If the developer is not capable to help you, drop me a screenshot of the Activity log with those blocked AJAX requests on the support forum: https://wordpress.org/support/plugin/wp-cerber