ブルートフォース攻撃からWordPressサイトを守りたいですか?
ブルートフォース攻撃は、サイトの速度を低下させ、アクセス不能にし、さらにはパスワードをクラックしてマルウェアをインストールする可能性があります。
この投稿では、ブルートフォース攻撃からWordPressサイトを守る方法を紹介します。
ブルートフォース攻撃とは何か?
ブルートフォースアタックとは、試行錯誤を繰り返してサイトやネットワーク、コンピューターシステムに侵入するハッキング手法のこと。
ブルートフォース攻撃の最も一般的なタイプは、パスワードの推測です。ハッカーは自動化されたソフトウェアを使ってログイン情報を推測し続け、サイトにアクセスできるようにします。
これらの有効化したハッキングツールは、異なるIPアドレスや場所を使用することで偽装することもできるため、不審な活動の特定やブロックが難しくなる。
ブルートフォース攻撃に成功すると、ハッカーはあなたのサイトの管理エリアにアクセスできるようになります。彼らはマルウェアをインストールし、ユーザー情報を盗み、サイト上のすべてを削除することができます。
ブルートフォースアタックが成功しなかった場合でも、WordPressホスティングサービスサーバーに多くのリクエストを送信して大混乱を引き起こし、サイトの速度を低下させたり、完全にクラッシュさせたりする可能性があります。
それでは、ブルートフォース攻撃からWordPressサイトを守る方法を見ていきましょう。以下がその手順だ:
1.WordPressファイアウォール・プラグインのインストール
ブルートフォース攻撃はサーバーに大きな負荷をかけます。失敗したものでさえ、サイトの速度を落としたり、サーバーを完全にクラッシュさせたりします。そのため、サーバーに到達する前にブロックすることが重要です。
そのためには、サイトファイアウォール・ソリューションが必要です。ファイアウォールは悪質なトラフィックをフィルターし、サイトへのアクセスをブロックします。
サイトファイアウォールには2種類あります:
- アプリケーション・レベル・ファイアウォールは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法は、ブルートフォース攻撃がサーバーの負荷に影響を与える可能性があるため、効率的ではありません。
- DNSレベルのウェブサイトファイアウォールは、クラウドプロキシサーバーを経由してあなたのウェブサイトのトラフィックをルーティングします。これにより、WordPressの速度とパフォーマンスを向上させながら、本物のトラフィックのみをメインWebホスティングサーバーに送信することができます。
Sucuriの使用をお勧めします。Sucuriはサイトセキュリティの業界リーダーであり、市場で最高のWordPressファイアウォールです。SucuriはDNSレベルのウェブサイトファイアウォールを備えているため、ウェブサイトのトラフィックはすべてSucuriのプロキシを経由し、悪質なトラフィックはフィルタリングされます。
さらに詳しく知りたい方は、Sucuriのレビューをご覧ください。
2.WordPress更新のインストール
一般的なブルートフォース攻撃の中には、WordPressの古いバージョン、人気のあるWordPressプラグイン、またはテーマの既知の脆弱性を積極的に狙うものがあります。
WordPressコアと人気のあるWordPressプラグインのほとんどはオープンソースであり、脆弱性は更新ですぐに修正されることが多い。しかし、更新のインストールを怠ると、古い脅威に対してサイトを脆弱なままにしておくことになります。
WordPress管理エリアのダッシュボード ” 更新ページにアクセスし、利用可能な更新を確認してください。このページにはWordPressコア、プラグイン、テーマの更新がすべて表示されます。
詳しくは、WordPressを安全に更新する方法と WordPressプラグインを適切に更新する方法をご覧ください。
3.WordPress管理ディレクトリの保護
WordPressサイトへの総当たり攻撃のほとんどは、WordPress管理エリアへのアクセスを試みるものです。サーバーレベルでWordPress管理ディレクトリにパスワード保護を追加することができます。これにより、WordPress管理エリアへの不正アクセスをブロックすることができます。
WordPressホスティングサービスのコントロールパネル(cPanel)にログインし、ファイルセクションの下にある「ディレクトリのプライバシー」アイコンをクリックするだけです。
注:スクリーンショットではBluehostを使用していますが、HostGatorのような他のトップホスティングサービス会社でも同様の設定が可能です。
次に、wp-adminフォルダーを見つける必要があります。
見つけたら、「編集」ボタンをクリックする。
次のページでは、フォルダーのセキュリティ設定を行うことができます。
まず、「このディレクトリをパスワードで保護する」のボックスをチェックする必要があります。次に、保護するディレクトリの名前を入力します。
次に、ユーザー名とパスワードの入力を求められます。
このディレクトリにアクセスしようとすると、必ずこの情報の入力を求められます。
入力後、「保存」ボタンをクリックして設定を保存します。
WordPressの管理ディレクトリがパスワードで保護されました。
WordPressの管理エリアにアクセスすると、新しいログインプロンプトが表示されます。
404エラーや error too many redirectsメッセージが表示される場合は、WordPressの.htaccessファイルに以下の行を追加する必要があります:
ErrorDocument 401 default
詳しくは、WordPress管理ディレクトリをパスワードで保護する方法の投稿をご覧ください。
4.WordPressに2要素認証を追加する
2要素認証は、WordPressログイン画面に追加のセキュリティレイヤーを追加します。ユーザーは WordPress 管理エリアにアクセスするために、ログイン情報と一緒にワンタイムパスコードを生成するために携帯電話が必要になります。
2要素認証を追加することで、ハッカーがWordPressのパスワードをクラックできたとしても、アクセスすることが難しくなります。
詳しい手順については、WordPressに2要素認証を追加する方法をご覧ください。
5.ユニークで強力なパスワードを使用する
パスワードはWordPressサイトやeコマースストアにアクセスするための鍵です。すべてのアカウントにユニークで強力なパスワードを使用する必要があります。強力なパスワードとは、数字、文字、特殊文字を組み合わせたものです。
WordPressユーザーアカウントだけでなく、FTPクライアント、ウェブホスティングコントロールパネル、WordPressデータベースにも強力なパスワードを使用することが重要です。
多くの初心者が、このようなユニークなパスワードをすべて覚えるにはどうしたらいいのかと尋ねてくる。その必要はない。パスワードを安全に保存し、自動的に入力してくれる優れたパスワード管理アプリがあります。
さらに詳しく知りたい方は、WordPressのパスワード管理に最適な方法についての初心者向けガイドをご覧ください。
6.ディレクトリ閲覧無効化
初期設定では、Webサーバーがインデックスファイル(index.phpやindex.htmlなど)を見つけられない場合、自動的にディレクトリのコンテンツを示すインデックスページを表示します。
総当たり攻撃の際、ハッカーはこのようなディレクトリ閲覧を利用して脆弱なファイルを探します。これを修正するには、FTPサービスを使ってWordPressの.htaccessファイルの一番下に以下の行を追加する必要があります:
Options -Indexes
詳しくはWordPressでディレクトリ閲覧を無効化する方法の投稿をご覧ください。
7.WordPressの特定フォルダーでのPHPファイル実行無効化
ハッカーは、WordPressのフォルダーにPHPスクリプトをインストールして実行しようとするかもしれません。WordPressは主にPHPで書かれているため、WordPressのすべてのフォルダでPHPを無効化することはできません。
しかし、/wp-content/uploadsにあるWordPressのアップロードフォルダーのように、PHPスクリプトを必要としないフォルダーもあります。
ハッカーがバックドア・ファイルを非表示にするために使用する一般的な場所であるアップロード・フォルダー内のPHP実行を安全に無効化することができます。
まず、コンピューターでメモ帳のようなテキストエディターを開き、以下のコードを貼り付ける:
<Files *.php>
deny from all
</Files>
このファイルを.htaccessとして保存し、FTPクライアントを使用してサイトの/wp-content/uploads/フォルダにアップロードします。
8.WordPressバックアッププラグインのインストールと設定
バックアップはWordPressのセキュリティにおいて最も重要なツールです。すべて失敗しても、バックアップがあれば簡単にサイトを復元することができます。
ほとんどのWordPressホスティングサービス会社は、限定的なバックアップオプションを提供しています。しかし、これらのバックアップは保証されておらず、バックアップの作成はお客様自身の責任となります。
WordPressには、自動バックアップをスケジュールできる優れたバックアッププラグインがいくつかあります。
Duplicatorの使用をお勧めします。初心者に優しく、自動バックアップを素早く設定し、Googleドライブ、Dropbox、Amazon S3、Oneドライブなどのリモートロケーションに保存することができます。
Duplicatorには無料版もあり、使い始めることができる。
ステップバイステップの手順については、DuplicatorでWordPressサイトをバックアップする方法のガイドを参照してください。
上記のヒントはすべて、ブルートフォース攻撃からWordPressサイトを守るのに役立ちます。より包括的なセキュリティ設定については、初心者のための究極のWordPressセキュリティガイドの指示に従ってください。
この投稿が、ブルートフォース攻撃から WordPress サイトを保護する方法を学ぶのに役立てば幸いです。また、ハッキングされた WordPress サイトを修復する方法や、WordPress ドラッグアンドドロップページビルダーのエキスパートによるベストセレクションもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
I noticed that you didn’t include the option to change the URL of the WordPress administration in the list. Is there a reason for that? It’s also one of the very good methods to prevent attacks, as attackers won’t know the URL of the website’s administration.
WPBeginner Support says
We do not recommend that as that can cause problems with plugins and debugging and does not add greatly to the security of a site.
管理者
Jiří Vaněk says
Well, you probably have experience with this. I use it on my blog and have never had a problem on all sites. I assumed that changing the URL might make the administration more secure by not knowing the URL for the attacker, but I’ll take your advice.
Moinuddin Waheed says
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support says
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
管理者
Moinuddin Waheed says
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga says
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support says
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
管理者
Dreamandu says
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support says
You can use any of the methods in this article to start combating the brute force attack
管理者
Chidubem Ezenwa says
Yet another helpful guide. Thanks guys.