WP Cerber Security 8.8.3
English version: WP Cerber Security 8.8.3
新しいログインセキュリティ機能
wp-login.php を通じてデフォルトの WordPress ユーザー認証を無効にし、それをハニーポットとして利用する
WP Cerberを有効にすると、正しいユーザー名とパスワードを使用しても、ユーザー認証がブロックされます。ログイン試行後、WP Cerberは標準の認証プロセスを模倣したデフォルトのパスワードエラーメッセージを表示します。WP Cerberは現在、低速ブルートフォース攻撃の検出ハニーポットとしてwp-login.phpを使用しています。プラグインのログには、このようなイベントは「ログイン試行が拒否されました。禁止されたURLです」と記録されます。この機能は、以前の機能「wp-login.phpへの直接アクセスをブロックし、HTTP 404 Not Foundエラーを返す」を置き換え、拡張したものです。詳細はこちらをご覧ください。

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label.
ログインエラーメッセージでWordPressログインヒントを無効にする
有効にすると、存在しないユーザー名やメールアドレスでログインしようとした際に、ログインエラーメッセージに無効なユーザー名やメールアドレスが表示されなくなります。これにより、悪意のあるユーザーが有効なユーザー名を推測するのを防ぐことができます。
パスワードリセットエラーメッセージでWordPressのヒントを無効にする
有効にすると、存在しないアカウントのパスワードをリセットしようとした際に、パスワードリセットのエラーメッセージに無効なユーザー名とメールアドレスが表示されなくなります。これにより、悪意のあるユーザーが有効なユーザー名を推測するのを防ぐことができます。WordPress 5.5以降が必要です。
ハッカーによるユーザー名の発見を防ぐ
WordPress 5.5で導入されたoEmbedプロトコルとユーザーXMLサイトマップを利用することで、悪意のある人物によるユーザー名の発見を防ぐ新機能が追加されました。新しい設定は「強化」タブにあります。
WP Cerber管理ページへの複数の改善
- WP Cerberのメインダッシュボードページを更新します。ユーザーアクティビティと悪意のあるアクティビティは、それぞれ異なる領域に表示されます。
- WP Cerberの管理ページ上部に管理メニューを配置することで、より快適なナビゲーションを実現します。WP Cerberの管理ページを開くと、WordPress管理サイドバーメニューの上部にWP Cerberの管理メニューが表示されます。他のページに移動すると、メニューはデフォルトの位置に表示されます。この新しい設定は、メイン設定管理ページにあります。
- ダッシュボードに新しいクイック リンク「ログインの問題」が追加され、ログインの失敗、試行の拒否、パスワードのリセットの試行など、すべてのログインの問題を表示できるようになりました。
その他の改善と最適化
- マルウェア スキャナーが .htaccess ファイル内の外部 IP アドレスを含むディレクティブを検査する際の誤検出の数を削減しました。
- 整合性チェッカーとマルウェア スキャナーによって使用されるデータベース テーブルのサイズが削減されました。
- 2要素認証(2FA)メールの改善:確認メールの文言が更新され、翻訳可能になりました。メールの件名にはサイト名が含まれます。
- 悪意のあるコードの配信と実行に利用されることが知られているPHP関数 unserialize() を、厳密に安全な方法で利用する方法を導入しました。PHP 7.0以降で有効です。
- WordPress のスケジュールされたタスクが適切に構成されていないか起動に失敗した場合に、WP Cerber メンテナンス タスクを実行するバックアップ方法を実装しました。
- WP CerberのPHPファイルの名前がいくつか変更されました。プラグインフォルダ内に孤立したファイルがいくつかあります。これらは、スキャナーページのプラグイン整合性スキャン中に安全に削除する必要があります。スキャナーでは、これらのファイルは「放置された疑わしいファイル」として表示されます。
バグ修正
- バグ修正: WordPress ダッシュボードのユーザー管理編集ページに2 要素認証 (2FA) PIN が表示されない。
- バグ修正: 「API リクエストの認証に失敗しました」イベントが「ログインに失敗しました」として記録されていました。