WP Cerberによる強力なログインセキュリティ
English version: Strong login security with WP Cerber
悪意のある人物がブルートフォース攻撃を仕掛けることで、わずか数分でWordPressに侵入できることは周知の事実です。WordPressには攻撃緩和メカニズムが組み込まれておらず、デフォルトのログインURLは広く知られており、ウェブサイト管理者のユーザー名も簡単に特定できるため、侵入は可能です。WP Cerberは、ブルートフォース攻撃を緩和し、ユーザーアカウントを保護するために必要なツールをすべて備えています。
WP Cerberのログインセキュリティ設定の構成
ログインセキュリティ設定は「メイン設定」タブにあります。ここでは、ログイン試行回数の制限、wp-login.phpへのアクセス制限、存在しないユーザー名やメールアドレスを使用した際にユーザー名やメールアドレスが発見されないようにするためのエラーメッセージの設定が可能です。
ブルートフォース攻撃を軽減するためにログイン試行を制限する
ログイン試行回数の制限に関するデフォルト設定と推奨設定は、スクリーンショットの#1でハイライト表示されています。これらの設定は、WP Cerberを有効化した際に設定されています。ウェブサイトに多くの顧客がいる場合、例えばWooCommerceストアを運営している場合は、ログイン試行回数の制限値を増やすことをおすすめします。
wp-login.php 認証リクエストの処理
選択肢2をご覧ください。WordPressはデフォルトで、すべてのユーザーログインを処理するウェブサイトログインページとしてwp-login.phpを使用します。また、登録フォームとパスワードリセットフォームも提供します。カスタムログインURLを設定している場合は、wp-login.phpを無効にすることをお勧めします。2つのオプションがあります。wp-login.phpへのアクセスを完全にブロックし、誰もアクセスできないようにするか、ファイルへのアクセスをブロックせずにwp-login.phpによるユーザー認証を無効にするかです。どちらのオプションも選択できます。どちらのオプションも、wp-login.phpによるユーザー認証をブロックします。
最初のオプションを有効にすると、WP Cerberはウェブサイトにそのようなファイルが存在しないかのように「404 ページが見つかりません」というエラーページをレンダリングして返します。そのため、悪意のある攻撃者は攻撃対象がなくなります。
2つ目のオプションを有効にすると、WP Cerberは正しいユーザー名とパスワードを使用してもユーザー認証をブロックします。つまり、wp-login.phpを使用してログインすることはできません。wp-login.php経由でログインしようとすると、WP CerberはWordPressの標準認証プロセスを模倣したデフォルトのパスワードエラーメッセージを表示します。このアプローチにより、WP Cerberはwp-login.phpを検出ハニーポットとして使用することで、スローブルートフォース攻撃を検出できます。wp-login.php経由のログイン試行はすべて、以下のスクリーンショットに示すように、WP Cerberのアクティビティログに記録されます。

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
悪意のある人物が実際のユーザー名や顧客のメールアドレスを発見するのを防ぐ
WordPress によって生成されるデフォルトのログインおよびパスワード リセット エラー メッセージは非常に冗長であり、ハッカーが実際のユーザー名とメールを検出して、ブルート フォース攻撃やソーシャル エンジニアリング攻撃を実行するのに役立ちます。
デフォルトのログインエラーメッセージを無効にする
有効にすると、存在しないユーザー名やメールアドレスでログインしようとした際に、ログインエラーメッセージに無効なユーザー名やメールアドレスが表示されなくなります。代わりに、WP Cerberはユーザーが間違ったパスワードを入力した場合に使用されるデフォルトのWordPressエラーメッセージを表示します。これにより、悪意のあるユーザーが有効なユーザー名やメールアドレスを推測するのを防ぐことができます。この方法は、ログインヒントの無効化とも呼ばれます。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して独自のログイン エラー メッセージを指定できます。
デフォルトのパスワードリセットエラーメッセージを無効にする
有効にすると、存在しないユーザー名またはメールアドレスでパスワードをリセットしようとした際に、パスワードリセットのエラーメッセージに無効なユーザー名とメールアドレスが表示されなくなります。代わりに、WP Cerberはデフォルトのパスワードリセットプロセスを模倣し、ユーザーが有効な、あるいは存在しないユーザー名とメールアドレスを入力するたびに、次のメッセージを表示します。
このアプローチは、悪意のある人物が有効なユーザー名を推測するのを防ぐのに役立ち、パスワード リセットのヒントを無効にすることとして知られています。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して、独自のパスワード リセット エラー メッセージを指定できます。
上記のすべての機能は、ホワイト IP アクセス リスト内の IP アドレスには適用されないことに注意してください。