WP Cerber による強力なログイン セキュリティ
English version: Strong login security with WP Cerber
悪意のある人物がブルート フォース攻撃を仕掛けることで、新しくインストールされた WordPress に数分以内に侵入できることは周知の事実です。 WordPress には組み込みの攻撃軽減メカニズムがなく、デフォルトのログイン URL はよく知られており、Web サイトの管理者のユーザー名は簡単に発見できるため、これが可能です。 WP Cerber は、ブルート フォース攻撃を緩和し、ユーザー アカウントを保護するために必要なすべてのツールを提供します。
WP Cerber のログイン セキュリティ設定の構成
ログイン セキュリティ設定は、[メイン設定] タブにあります。ここでは、ログイン試行の制限を構成したり、wp-login.php へのアクセスを制限したり、エラー メッセージを構成して、存在しないユーザー名や電子メールを使用したときにユーザー名や電子メールが検出されないようにすることができます。
ブルートフォース攻撃を軽減するためにログイン試行を制限する
ログイン試行を制限するためのデフォルトおよび推奨設定は、スクリーンショットで #1 として強調表示されています。これらの設定は、WP Cerber をアクティブ化したときに設定されました。たとえば、WooCommerce ストアを運営している場合など、Web サイトに多くの顧客がいる場合、ログイン試行の制限を増やすことは理にかなっています。
wp-login.php 認証リクエストの処理
選択 2 を参照してください。デフォルトでは、WordPress は wp-login.php を Web サイト ログイン ページとして使用し、すべてのユーザー ログインを処理し、登録フォームとパスワード リセット フォームを提供します。カスタム ログイン URLを設定している場合は、wp-login.php を無効にすることをお勧めします。 2 つのオプションがあります。 wp-login.php へのアクセスを完全にブロックして、ファイルに誰もアクセスできないようにするか、ファイルへのアクセスをブロックせずに wp-login.php を介してユーザー認証を無効にすることができます。任意のオプションを選択できます。どちらも wp-login.php によるユーザー認証を防ぎます。
最初のオプションが有効になっている場合、WP Cerber は Web サイトにそのようなファイルがないように、「404 ページが見つかりません」というエラー ページをレンダリングして返します。したがって、悪役は攻撃するものは何もありません。
2 番目のオプションが有効になっている場合、WP Cerber は正しいユーザー名とパスワードを使用してもユーザー認証を防ぎます。これは、誰も wp-login.php を使用してログインできないことを意味します。 wp-login.php 経由でログインを試みると、WP Cerber は標準の WordPress 認証プロセスを模倣したデフォルトの不正なパスワード エラー メッセージを表示します。このアプローチを使用すると、検出ハニーポットとして wp-login.php を使用して、WP Cerber が低速のブルート フォース攻撃を検出するのに役立ちます。以下のスクリーンショットに示すように、wp-login.php 経由でログインしようとする試みはすべて WP Cerber アクティビティ ログに記録されます。

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
悪意のある人物が実際のユーザー名と顧客の電子メールを発見するのを防ぎます
WordPress によって生成されるデフォルトのログインおよびパスワード リセット エラー メッセージは非常に詳細であり、ハッカーが実際のユーザー名と電子メールを検出して、ブルート フォースまたはソーシャル エンジニアリング攻撃を仕掛けるために使用するのに役立ちます。
デフォルトのログイン エラー メッセージを無効にする
有効にすると、存在しないユーザー名と電子メールでログインしようとしても、ログイン エラー メッセージは無効なユーザー名と電子メールを示しません。代わりに、WP Cerber は、ユーザーが間違ったパスワードを入力したときに使用されるデフォルトの WordPress エラー メッセージを表示します。これにより、悪意のある人物が有効なユーザー名と電子メールを推測するのを防ぐことができます。このアプローチは、ログイン ヒントの無効化とも呼ばれます。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログインエラー メッセージ設定フィールドを使用して、独自のログイン エラー メッセージを指定できます。
デフォルトのリセット パスワード エラー メッセージを無効にする
有効にすると、存在しないユーザー名または存在しない電子メールのパスワードをリセットしようとしたときに、パスワード リセット エラー メッセージは無効なユーザー名と電子メールを示しません。代わりに、WP Cerber はパスワードをリセットするデフォルトのプロセスを模倣し、ユーザーが有効な、または存在しないユーザー名と電子メールを入力するたびに、次のメッセージを表示します。
このアプローチは、悪意のあるユーザーが有効なユーザー名を推測するのを防ぐのに役立ち、パスワード リセットのヒントを無効にすることとして知られています。
WP Cerber のプロフェッショナル バージョンでは、カスタム ログイン エラー メッセージ設定フィールドを使用して、独自のパスワード リセット エラー メッセージを指定できます。
上記のすべての機能がホワイト IP アクセス リストの IP アドレスに適用されるわけではないことに注意してください。