WP Cerberによる強力なログインセキュリティ
English version: Strong login security with WP Cerber
悪意のある人物がブルートフォース攻撃を仕掛けることで、数分以内に新しくインストールされた WordPress に侵入できることは周知の事実です。WordPress には攻撃緩和メカニズムが組み込まれておらず、デフォルトのログイン URL はよく知られており、Web サイトの管理者のユーザー名は簡単に発見できるため、侵入が可能です。WP Cerber は、ブルートフォース攻撃を緩和し、ユーザー アカウントを保護するために必要なすべてのツールを提供します。
WP Cerberのログインセキュリティ設定の構成
ログイン セキュリティ設定は、メイン設定タブにあります。ここでは、ログイン試行の制限を設定したり、wp-login.php へのアクセスを制限したり、存在しないユーザー名やメールを使用した場合にユーザー名やメールが検出されないようにエラー メッセージを設定したりできます。
ログイン試行回数を制限してブルートフォース攻撃を軽減する
ログイン試行回数を制限するためのデフォルト設定と推奨設定は、スクリーンショットの #1 で強調表示されています。これらの設定は、WP Cerber を有効化したときに設定されました。たとえば、WooCommerce ストアを運営していて、Web サイトに多くの顧客がいる場合は、ログイン試行回数の制限を増やすのが合理的です。
WordPress Login Security – WP Cerber Settings
wp-login.php 認証リクエストの処理
選択 #2 を参照してください。デフォルトでは、WordPress は wp-login.php をウェブサイトのログインページとして使用し、すべてのユーザーログインを処理し、登録フォームとパスワードリセットフォームを提供します。カスタムログイン URLを設定している場合は、wp-login.php を無効にすることをお勧めします。2 つのオプションがあります。wp-login.php へのアクセスを完全にブロックして、誰もファイルにアクセスできないようにするか、ファイルへのアクセスをブロックせずに wp-login.php によるユーザー認証を無効にすることができます。どちらのオプションも選択できます。どちらも、wp-login.php によるユーザー認証を防止します。
最初のオプションを有効にすると、WP Cerber は、Web サイトにそのようなファイルが存在しないかのように、「404 ページが見つかりません」というエラー ページをレンダリングして返します。そのため、悪意のある行為者は攻撃する対象がありません。
2 番目のオプションを有効にすると、WP Cerber は正しいユーザー名とパスワードを使用してもユーザー認証を阻止します。つまり、wp-login.php を使用してログインすることはできません。wp-login.php 経由でログインしようとすると、WP Cerber は標準の WordPress 認証プロセスを模倣したデフォルトの不正なパスワード エラー メッセージを表示します。このアプローチを使用すると、WP Cerber は wp-login.php を検出ハニーポットとして使用して、低速のブルート フォース攻撃を検出できます。wp-login.php 経由でログインするすべての試行は、以下のスクリーンショットに示すように、WP Cerber アクティビティ ログに記録されます。
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
悪意のある人物が実際のユーザー名や顧客のメールアドレスを発見するのを防ぐ
WordPress によって生成されるデフォルトのログインおよびパスワード リセット エラー メッセージは非常に冗長であり、ハッカーが実際のユーザー名とメールを検出して、ブルート フォース攻撃やソーシャル エンジニアリング攻撃を仕掛けるのに役立ちます。
デフォルトのログインエラーメッセージを無効にする
有効にすると、存在しないユーザー名やメールアドレスでログインしようとしたときに、ログイン エラー メッセージに無効なユーザー名やメールアドレスが表示されなくなります。代わりに、WP Cerber は、ユーザーが間違ったパスワードを入力したときに使用されるデフォルトの WordPress エラー メッセージを表示します。これにより、悪意のあるユーザーが有効なユーザー名やメールアドレスを推測するのを防ぐことができます。この方法は、ログイン ヒントの無効化とも呼ばれます。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して独自のログイン エラー メッセージを指定できます。
デフォルトのパスワードリセットエラーメッセージを無効にする
有効にすると、存在しないユーザー名または存在しないメールのパスワードをリセットしようとしたときに、パスワード リセット エラー メッセージに無効なユーザー名とメールが表示されなくなります。代わりに、WP Cerber はパスワードをリセットするデフォルトのプロセスを模倣し、ユーザーが有効な、または存在しないユーザー名とメールを入力するたびに次のメッセージを表示します。
The new WordPress password reset message generated by WP Cerber Security
このアプローチは、悪意のある人物が有効なユーザー名を推測するのを防ぐのに役立ち、パスワード リセットのヒントを無効にすることとして知られています。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して、独自のパスワード リセット エラー メッセージを指定できます。
上記のすべての機能は、ホワイト IP アクセス リスト内の IP アドレスには適用されないことに注意してください。
WP Cerber Security 8.7
WordPress アプリケーションのパスワードを手間のかからない方法で管理する
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.