WP Cerber による強力なログイン セキュリティ
English version: Strong login security with WP Cerber
悪意のある人物がブルート フォース攻撃を仕掛けることで、新しくインストールされた WordPress に数分以内に侵入できることは周知の事実です。 WordPress には組み込みの攻撃軽減メカニズムがなく、デフォルトのログイン URL はよく知られており、Web サイトの管理者のユーザー名は簡単に発見できるため、これが可能です。 WP Cerber は、ブルート フォース攻撃を緩和し、ユーザー アカウントを保護するために必要なすべてのツールを提供します。
WP Cerber のログイン セキュリティ設定の構成
ログイン セキュリティ設定は、[メイン設定] タブにあります。ここでは、ログイン試行の制限を構成したり、wp-login.php へのアクセスを制限したり、エラー メッセージを構成して、存在しないユーザー名や電子メールを使用したときにユーザー名や電子メールが検出されないようにすることができます。
ブルートフォース攻撃を軽減するためにログイン試行を制限する
ログイン試行を制限するためのデフォルトおよび推奨設定は、スクリーンショットで #1 として強調表示されています。これらの設定は、WP Cerber をアクティブ化したときに設定されました。たとえば、WooCommerce ストアを運営している場合など、Web サイトに多くの顧客がいる場合、ログイン試行の制限を増やすことは理にかなっています。
WordPress Login Security – WP Cerber Settings
wp-login.php 認証リクエストの処理
選択 2 を参照してください。デフォルトでは、WordPress は wp-login.php を Web サイト ログイン ページとして使用し、すべてのユーザー ログインを処理し、登録フォームとパスワード リセット フォームを提供します。カスタム ログイン URLを設定している場合は、wp-login.php を無効にすることをお勧めします。 2 つのオプションがあります。 wp-login.php へのアクセスを完全にブロックして、ファイルに誰もアクセスできないようにするか、ファイルへのアクセスをブロックせずに wp-login.php を介してユーザー認証を無効にすることができます。任意のオプションを選択できます。どちらも wp-login.php によるユーザー認証を防ぎます。
最初のオプションが有効になっている場合、WP Cerber は Web サイトにそのようなファイルがないように、「404 ページが見つかりません」というエラー ページをレンダリングして返します。したがって、悪役は攻撃するものは何もありません。
2 番目のオプションが有効になっている場合、WP Cerber は正しいユーザー名とパスワードを使用してもユーザー認証を防ぎます。これは、誰も wp-login.php を使用してログインできないことを意味します。 wp-login.php 経由でログインを試みると、WP Cerber は標準の WordPress 認証プロセスを模倣したデフォルトの不正なパスワード エラー メッセージを表示します。このアプローチを使用すると、検出ハニーポットとして wp-login.php を使用して、WP Cerber が低速のブルート フォース攻撃を検出するのに役立ちます。以下のスクリーンショットに示すように、wp-login.php 経由でログインしようとする試みはすべて WP Cerber アクティビティ ログに記録されます。
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
悪意のある人物が実際のユーザー名と顧客の電子メールを発見するのを防ぎます
WordPress によって生成されるデフォルトのログインおよびパスワード リセット エラー メッセージは非常に詳細であり、ハッカーが実際のユーザー名と電子メールを検出して、ブルート フォースまたはソーシャル エンジニアリング攻撃を仕掛けるために使用するのに役立ちます。
デフォルトのログイン エラー メッセージを無効にする
有効にすると、存在しないユーザー名と電子メールでログインしようとしても、ログイン エラー メッセージは無効なユーザー名と電子メールを示しません。代わりに、WP Cerber は、ユーザーが間違ったパスワードを入力したときに使用されるデフォルトの WordPress エラー メッセージを表示します。これにより、悪意のある人物が有効なユーザー名と電子メールを推測するのを防ぐことができます。このアプローチは、ログイン ヒントの無効化とも呼ばれます。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログインエラー メッセージ設定フィールドを使用して、独自のログイン エラー メッセージを指定できます。
デフォルトのリセット パスワード エラー メッセージを無効にする
有効にすると、存在しないユーザー名または存在しない電子メールのパスワードをリセットしようとしたときに、パスワード リセット エラー メッセージは無効なユーザー名と電子メールを示しません。代わりに、WP Cerber はパスワードをリセットするデフォルトのプロセスを模倣し、ユーザーが有効な、または存在しないユーザー名と電子メールを入力するたびに、次のメッセージを表示します。
The new WordPress password reset message generated by WP Cerber Security
このアプローチは、悪意のあるユーザーが有効なユーザー名を推測するのを防ぐのに役立ち、パスワード リセットのヒントを無効にすることとして知られています。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して、独自のパスワード リセット エラー メッセージを指定できます。
上記のすべての機能がホワイト IP アクセス リストの IP アドレスに適用されるわけではないことに注意してください。
ワードプレス 5.4.1. 7 つの XSS 脆弱性を修正するセキュリティ更新プログラム
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.