Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPBカップ
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

ブルートフォース攻撃からWordPressサイトを守る方法

ブルートフォース攻撃からWordPressサイトを守りたいですか?

ブルートフォース攻撃は、サイトの速度を低下させ、アクセス不能にし、さらにはパスワードをクラックしてマルウェアをインストールする可能性があります。

この投稿では、ブルートフォース攻撃からWordPressサイトを守る方法を紹介します。

How to Protect Your WordPress Site From Brute Force Attacks

ブルートフォース攻撃とは何か?

ブルートフォースアタックとは、試行錯誤を繰り返してサイトやネットワーク、コンピューターシステムに侵入するハッキング手法のこと。

ブルートフォース攻撃の最も一般的なタイプは、パスワードの推測です。ハッカーは自動化されたソフトウェアを使ってログイン情報を推測し続け、サイトにアクセスできるようにします。

これらの有効化したハッキングツールは、異なるIPアドレスや場所を使用することで偽装することもできるため、不審な活動の特定やブロックが難しくなる。

ブルートフォース攻撃に成功すると、ハッカーはあなたのサイトの管理エリアにアクセスできるようになります。彼らはマルウェアをインストールし、ユーザー情報を盗み、サイト上のすべてを削除することができます。

ブルートフォースアタックが成功しなかった場合でも、WordPressホスティングサービスサーバーに多くのリクエストを送信して大混乱を引き起こし、サイトの速度を低下させたり、完全にクラッシュさせたりする可能性があります。

それでは、ブルートフォース攻撃からWordPressサイトを守る方法を見ていきましょう。以下がその手順だ:

1.WordPressファイアウォール・プラグインのインストール

ブルートフォース攻撃はサーバーに大きな負荷をかけます。失敗したものでさえ、サイトの速度を落としたり、サーバーを完全にクラッシュさせたりします。そのため、サーバーに到達する前にブロックすることが重要です。

そのためには、サイトファイアウォール・ソリューションが必要です。ファイアウォールは悪質なトラフィックをフィルターし、サイトへのアクセスをブロックします。

How Sucuri firewall works

サイトファイアウォールには2種類あります:

  • アプリケーション・レベル・ファイアウォールは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法は、ブルートフォース攻撃がサーバーの負荷に影響を与える可能性があるため、効率的ではありません。
  • DNSレベルのウェブサイトファイアウォールは、クラウドプロキシサーバーを経由してあなたのウェブサイトのトラフィックをルーティングします。これにより、WordPressの速度とパフォーマンスを向上させながら、本物のトラフィックのみをメインWebホスティングサーバーに送信することができます。

Sucuriの使用をお勧めします。Sucuriはサイトセキュリティの業界リーダーであり、市場で最高のWordPressファイアウォールです。SucuriはDNSレベルのウェブサイトファイアウォールを備えているため、ウェブサイトのトラフィックはすべてSucuriのプロキシを経由し、悪質なトラフィックはフィルタリングされます。

さらに詳しく知りたい方は、Sucuriのレビューをご覧ください。

2.WordPress更新のインストール

一般的なブルートフォース攻撃の中には、WordPressの古いバージョン、人気のあるWordPressプラグイン、またはテーマの既知の脆弱性を積極的に狙うものがあります。

WordPressコアと人気のあるWordPressプラグインのほとんどはオープンソースであり、脆弱性は更新ですぐに修正されることが多い。しかし、更新のインストールを怠ると、古い脅威に対してサイトを脆弱なままにしておくことになります。

WordPress管理エリアのダッシュボード ” 更新ページにアクセスし、利用可能な更新を確認してください。このページにはWordPressコア、プラグイン、テーマの更新がすべて表示されます。

Updating WordPress Core From the Dashboard

詳しくは、WordPressを安全に更新する方法と WordPressプラグインを適切に更新する方法をご覧ください。

3.WordPress管理ディレクトリの保護

WordPressサイトへの総当たり攻撃のほとんどは、WordPress管理エリアへのアクセスを試みるものです。サーバーレベルでWordPress管理ディレクトリにパスワード保護を追加することができます。これにより、WordPress管理エリアへの不正アクセスをブロックすることができます。

WordPressホスティングサービスのコントロールパネル(cPanel)にログインし、ファイルセクションの下にある「ディレクトリのプライバシー」アイコンをクリックするだけです。

注:スクリーンショットではBluehostを使用していますが、HostGatorのような他のトップホスティングサービス会社でも同様の設定が可能です。

Click on the Directory Privacy option in the Files section

次に、wp-adminフォルダーを見つける必要があります。

見つけたら、「編集」ボタンをクリックする。

Using Directory Privacy to Password-Protect wp-admin

次のページでは、フォルダーのセキュリティ設定を行うことができます。

まず、「このディレクトリをパスワードで保護する」のボックスをチェックする必要があります。次に、保護するディレクトリの名前を入力します。

Password Protecting a Directory

次に、ユーザー名とパスワードの入力を求められます。

このディレクトリにアクセスしようとすると、必ずこの情報の入力を求められます。

Providing a Username and Password for a Protected Directory

入力後、「保存」ボタンをクリックして設定を保存します。

WordPressの管理ディレクトリがパスワードで保護されました。

WordPressの管理エリアにアクセスすると、新しいログインプロンプトが表示されます。

Password protect WordPress admin example

404エラーや error too many redirectsメッセージが表示される場合は、WordPressの.htaccessファイルに以下の行を追加する必要があります:

ErrorDocument 401 default

詳しくは、WordPress管理ディレクトリをパスワードで保護する方法の投稿をご覧ください。

4.WordPressに2要素認証を追加する

2要素認証は、WordPressログイン画面に追加のセキュリティレイヤーを追加します。ユーザーは WordPress 管理エリアにアクセスするために、ログイン情報と一緒にワンタイムパスコードを生成するために携帯電話が必要になります。

Users Must Enter an Authentication Code Before Logging In

2要素認証を追加することで、ハッカーがWordPressのパスワードをクラックできたとしても、アクセスすることが難しくなります。

詳しい手順については、WordPressに2要素認証を追加する方法をご覧ください。

5.ユニークで強力なパスワードを使用する

パスワードはWordPressサイトやeコマースストアにアクセスするための鍵です。すべてのアカウントにユニークで強力なパスワードを使用する必要があります。強力なパスワードとは、数字、文字、特殊文字を組み合わせたものです。

WordPressユーザーアカウントだけでなく、FTPクライアント、ウェブホスティングコントロールパネル、WordPressデータベースにも強力なパスワードを使用することが重要です。

多くの初心者が、このようなユニークなパスワードをすべて覚えるにはどうしたらいいのかと尋ねてくる。その必要はない。パスワードを安全に保存し、自動的に入力してくれる優れたパスワード管理アプリがあります。

さらに詳しく知りたい方は、WordPressのパスワード管理に最適な方法についての初心者向けガイドをご覧ください。

6.ディレクトリ閲覧無効化

初期設定では、Webサーバーがインデックスファイル(index.phpやindex.htmlなど)を見つけられない場合、自動的にディレクトリのコンテンツを示すインデックスページを表示します。

Directory Browsing

総当たり攻撃の際、ハッカーはこのようなディレクトリ閲覧を利用して脆弱なファイルを探します。これを修正するには、FTPサービスを使ってWordPressの.htaccessファイルの一番下に以下の行を追加する必要があります:

Options -Indexes

詳しくはWordPressでディレクトリ閲覧を無効化する方法の投稿をご覧ください。

7.WordPressの特定フォルダーでのPHPファイル実行無効化

ハッカーは、WordPressのフォルダーにPHPスクリプトをインストールして実行しようとするかもしれません。WordPressは主にPHPで書かれているため、WordPressのすべてのフォルダでPHPを無効化することはできません。

しかし、/wp-content/uploadsにあるWordPressのアップロードフォルダーのように、PHPスクリプトを必要としないフォルダーもあります。

ハッカーがバックドア・ファイルを非表示にするために使用する一般的な場所であるアップロード・フォルダー内のPHP実行を安全に無効化することができます。

まず、コンピューターでメモ帳のようなテキストエディターを開き、以下のコードを貼り付ける:

<Files *.php>
deny from all
</Files>

このファイルを.htaccessとして保存し、FTPクライアントを使用してサイトの/wp-content/uploads/フォルダにアップロードします。

8.WordPressバックアッププラグインのインストールと設定

バックアップはWordPressのセキュリティにおいて最も重要なツールです。すべて失敗しても、バックアップがあれば簡単にサイトを復元することができます。

ほとんどのWordPressホスティングサービス会社は、限定的なバックアップオプションを提供しています。しかし、これらのバックアップは保証されておらず、バックアップの作成はお客様自身の責任となります。

WordPressには、自動バックアップをスケジュールできる優れたバックアッププラグインがいくつかあります。

Duplicatorの使用をお勧めします。初心者に優しく、自動バックアップを素早く設定し、Googleドライブ、Dropbox、Amazon S3、Oneドライブなどのリモートロケーションに保存することができます。

Duplicator

Duplicatorには無料版もあり、使い始めることができる。

ステップバイステップの手順については、DuplicatorでWordPressサイトをバックアップする方法のガイドを参照してください。

上記のヒントはすべて、ブルートフォース攻撃からWordPressサイトを守るのに役立ちます。より包括的なセキュリティ設定については、初心者のための究極のWordPressセキュリティガイドの指示に従ってください。

この投稿が、ブルートフォース攻撃から WordPress サイトを保護する方法を学ぶのに役立てば幸いです。また、ハッキングされた WordPress サイトを修復する方法や、WordPress ドラッグアンドドロップページビルダーのエキスパートによるベストセレクションもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源 をご覧ください。3$編集プロセスをご覧ください。

アバター

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

究極のWordPressツールキット

ツールキットへの無料アクセス - すべてのプロフェッショナルが持つべきWordPress関連製品とリソースのコレクション!

Reader Interactions

11件のコメント返信を残す

  1. Jiří Vaněk

    I noticed that you didn’t include the option to change the URL of the WordPress administration in the list. Is there a reason for that? It’s also one of the very good methods to prevent attacks, as attackers won’t know the URL of the website’s administration.

    • WPBeginner Support

      We do not recommend that as that can cause problems with plugins and debugging and does not add greatly to the security of a site.

      管理者

      • Jiří Vaněk

        Well, you probably have experience with this. I use it on my blog and have never had a problem on all sites. I assumed that changing the URL might make the administration more secure by not knowing the URL for the attacker, but I’ll take your advice.

  2. Moinuddin Waheed

    This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
    I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
    Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?

  3. Renuga

    HI,
    For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.

    • WPBeginner Support

      If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets

      管理者

  4. Dreamandu

    I am under the brute force attack right now from different IPs. What can I do to protect my site right now?

    • WPBeginner Support

      You can use any of the methods in this article to start combating the brute force attack

      管理者

  5. Chidubem Ezenwa

    Yet another helpful guide. Thanks guys.

返信を残す

コメントありがとうございます。すべてのコメントは私たちのコメントポリシーに従ってモデレートされ、あなたのメールアドレスが公開されることはありませんのでご留意ください。名前欄にキーワードを使用しないでください。個人的で有意義な会話をしましょう。