WordPress Security How To

WP Cerberによる強力なログインセキュリティ


English version: Strong login security with WP Cerber


悪意のある人物がブルートフォース攻撃を仕掛けることで、わずか数分でWordPressに侵入できることは周知の事実です。WordPressには攻撃緩和メカニズムが組み込まれておらず、デフォルトのログインURLは広く知られており、ウェブサイト管理者のユーザー名も簡単に特定できるため、侵入は可能です。WP Cerberは、ブルートフォース攻撃を緩和し、ユーザーアカウントを保護するために必要なツールをすべて備えています。

WP Cerberのログインセキュリティ設定の構成

ログインセキュリティ設定は「メイン設定」タブにあります。ここでは、ログイン試行回数の制限、wp-login.phpへのアクセス制限、存在しないユーザー名やメールアドレスを使用した際にユーザー名やメールアドレスが発見されないようにするためのエラーメッセージの設定が可能です。

ブルートフォース攻撃を軽減するためにログイン試行を制限する

ログイン試行回数の制限に関するデフォルト設定と推奨設定は、スクリーンショットの#1でハイライト表示されています。これらの設定は、WP Cerberを有効化した際に設定されています。ウェブサイトに多くの顧客がいる場合、例えばWooCommerceストアを運営している場合は、ログイン試行回数の制限値を増やすことをおすすめします。

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

wp-login.php 認証リクエストの処理

選択肢2をご覧ください。WordPressはデフォルトで、すべてのユーザーログインを処理するウェブサイトログインページとしてwp-login.phpを使用します。また、登録フォームとパスワードリセットフォームも提供します。カスタムログインURLを設定している場合は、wp-login.phpを無効にすることをお勧めします。2つのオプションがあります。wp-login.phpへのアクセスを完全にブロックし、誰もアクセスできないようにするか、ファイルへのアクセスをブロックせずにwp-login.phpによるユーザー認証を無効にするかです。どちらのオプションも選択できます。どちらのオプションも、wp-login.phpによるユーザー認証をブロックします。

最初のオプションを有効にすると、WP Cerberはウェブサイトにそのようなファイルが存在しないかのように「404 ページが見つかりません」というエラーページをレンダリングして返します。そのため、悪意のある攻撃者は攻撃対象がなくなります。

2つ目のオプションを有効にすると、WP Cerberは正しいユーザー名とパスワードを使用してもユーザー認証をブロックします。つまり、wp-login.phpを使用してログインすることはできません。wp-login.php経由でログインしようとすると、WP CerberはWordPressの標準認証プロセスを模倣したデフォルトのパスワードエラーメッセージを表示します。このアプローチにより、WP Cerberはwp-login.phpを検出ハニーポットとして使用することで、スローブルートフォース攻撃を検出できます。wp-login.php経由のログイン試行はすべて、以下のスクリーンショットに示すように、WP Cerberのアクティビティログに記録されます。

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

悪意のある人物が実際のユーザー名や顧客のメールアドレスを発見するのを防ぐ

WordPress によって生成されるデフォルトのログインおよびパスワード リセット エラー メッセージは非常に冗長であり、ハッカーが実際のユーザー名とメールを検出して、ブルート フォース攻撃やソーシャル エンジニアリング攻撃を実行するのに役立ちます。

デフォルトのログインエラーメッセージを無効にする

有効にすると、存在しないユーザー名やメールアドレスでログインしようとした際に、ログインエラーメッセージに無効なユーザー名やメールアドレスが表示されなくなります。代わりに、WP Cerberはユーザーが間違ったパスワードを入力した場合に使用されるデフォルトのWordPressエラーメッセージを表示します。これにより、悪意のあるユーザーが有効なユーザー名やメールアドレスを推測するのを防ぐことができます。この方法は、ログインヒントの無効化とも呼ばれます。

WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して独自のログイン エラー メッセージを指定できます。

デフォルトのパスワードリセットエラーメッセージを無効にする

有効にすると、存在しないユーザー名またはメールアドレスでパスワードをリセットしようとした際に、パスワードリセットのエラーメッセージに無効なユーザー名とメールアドレスが表示されなくなります。代わりに、WP Cerberはデフォルトのパスワードリセットプロセスを模倣し、ユーザーが有効な、あるいは存在しないユーザー名とメールアドレスを入力するたびに、次のメッセージを表示します。

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

このアプローチは、悪意のある人物が有効なユーザー名を推測するのを防ぐのに役立ち、パスワード リセットのヒントを無効にすることとして知られています。

WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して、独自のパスワード リセット エラー メッセージを指定できます。

上記のすべての機能は、ホワイト IP アクセス リスト内の IP アドレスには適用されないことに注意してください。


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.