WordPress Security How To
Posted By Gregory

WPCerberによる強力なログインセキュリティ

English version: Strong login security with WP Cerber


悪意のある攻撃者がブルートフォース攻撃を仕掛けることにより、数分以内に新しくインストールされたWordPressに侵入できることは周知の事実です。 WordPressには攻撃軽減メカニズムが組み込まれておらず、デフォルトのログインURLがよく知られており、Webサイトの管理者のユーザー名を簡単に見つけることができるために可能です。 WP Cerberは、ブルートフォース攻撃を軽減し、ユーザーアカウントを保護するために必要なすべてのツールを提供します。

WPCerberのログインセキュリティ設定の構成

ログインセキュリティ設定は、[メイン設定]タブにあります。ここでは、ログイン試行の制限を構成し、wp-login.phpへのアクセスを制限し、存在しないユーザー名と電子メールを使用するときにユーザー名と電子メールが検出されないようにエラーメッセージを構成できます。

ブルートフォース攻撃を軽減するためのログイン試行の制限

ログイン試行を制限するためのデフォルトおよび推奨設定は、スクリーンショットの選択#1として示されています。これらの設定は、WPCerberをアクティブ化したときに設定されます。たとえば、WooCommerceストアを運営している場合など、Webサイトに多くの顧客がいる場合は、ログイン試行の制限を増やすのが理にかなっています。

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

wp-login.php認証リクエストの処理

選択#2を参照してください。デフォルトでは、WordPressはすべてのユーザーログインを処理し、登録フォームとパスワードリセットフォームを提供するWebサイトログインページとしてwp-login.phpを使用します。カスタムログインURLを構成している場合は、wp-login.phpを無効にすることをお勧めします。 2つのオプションがあります。 wp-login.phpへのアクセスを完全にブロックして、誰もがファイルにアクセスできないようにするか、ファイルへのアクセスをブロックせずにwp-login.phpを介してユーザー認証を無効にすることができます。それらのいずれかを選択できます-どちらもwp-login.phpを介してユーザー認証を停止します。

最初のオプションを有効にすると、WP Cerberは、Webサイトにそのようなファイルがないように、「404ページが見つかりません」というエラーページをレンダリングして返します。したがって、悪意のあるアクターは攻撃するものが何もありません。

2番目のオプションを有効にすると、WP Cerberは、正しいユーザー名とパスワードを使用してもユーザー認証を防止します。つまり、誰もwp-login.phpを使用してログインできません。 wp-login.phpを介してログインしようとすると、WP Cerberは、標準のWordPress認証プロセスを模倣したデフォルトの誤ったパスワードエラーメッセージを表示します。このアプローチを使用すると、WP Cerberは、検出ハニーポットとしてwp-login.phpを使用することにより、低速のブルートフォース攻撃を検出するのに役立ちます。 WP Cerberログでは、以下のスクリーンショットに示すように、wp-login.phpを介してログインしようとするすべての試みがログに記録されます。

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

悪意のある人物が有効なユーザー名やメールを発見するのを阻止する

デフォルトでは、WordPressのログインとパスワードのリセットのエラーメッセージは非常に冗長であり、ハッカーが有効なユーザー名と存在しないユーザー名とメールを区別し、ブルートフォース攻撃やソーシャルエンジニアリング攻撃を仕掛ける有効なものを検出するのに役立ちます。

デフォルトのログインエラーメッセージを無効にする

有効にすると、ログインエラーメッセージは、存在しないものでログインしようとしたときに無効なユーザー名と電子メールを示しません。代わりに、WP Cerberは、ユーザーが間違ったパスワードを入力したときに使用されるデフォルトのWordPressエラーメッセージを表示します。これは、悪意のある人物が有効なユーザー名と電子メールを推測するのを防ぐのに役立ちます。このアプローチは、ログインヒントの無効化とも呼ばれます。

デフォルトのパスワードリセットエラーメッセージを無効にする

有効にすると、存在しないユーザー名または存在しない電子メールのパスワードをリセットしようとしたときに、パスワードリセットエラーメッセージは無効なユーザー名と電子メールを示しません。代わりに、WP Cerberはパスワードをリセットするデフォルトのプロセスを模倣し、ユーザーが有効または存在しないユーザー名と電子メールを入力するたびに次のメッセージを表示します。

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

このアプローチは、悪意のある攻撃者が有効なユーザー名を推測するのを防ぐのに役立ち、パスワードリセットヒントの無効化として知られています。

上記のすべての機能が、ホワイトIPアクセスリストのIPアドレスに適用されるわけではないことに注意してください。

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.