WordPressセキュリティの基本:複数の失敗したログイン試行を処理する方法
公開: 2022-04-28Webサイトを運営している場合、またはWebサイトを作成している場合は、WordPressが世界中の多くの人に使用されている最高のCMSシステムの1つであることがわかります。これは、多くのハッカーがWebサイトを標的にしている理由でもあります。
大きなWebサイトだけがハッキングされるとは思わないでください。 小さなものは、個人の顧客のデータも保存するため、ハッカーにとっても同様に魅力的です。 WordPressサイトを攻撃する最も一般的な方法の1つは、複数回のログイン試行です。 これが、失敗した複数のログイン試行を認識して監視することが重要である理由と、それらを防ぐ方法を説明する理由です。
まず、ホスティングについて詳しく説明します。 しかし、本質的に、優れたホスティングは常に防御の最前線です。 WPMUDEVホスティングはすべてのボックスにチェックマークを付けます。 手頃な価格で、高速で、安全で、完全に専用であり、TrustPilotで第1位のWordPressホストです。 ここで彼らの計画のいずれかを20%オフにします。
ログイン試行の失敗
WordPressサイトを使用するには、ユーザー名とパスワードが必要です。つまり、ログインする必要があります。パスワードを忘れてしまうことと、ボットがサイトに侵入しようとすることとの間には微妙な違いがあります。 したがって、これは、失敗したログイン試行の監視がセキュリティ対策として役立つ場所です。
サイトに「ログイン試行の失敗が多すぎます」というエラーメッセージが表示されたら、何が起こっているかを確認します。 単に「OK」として却下しないでください。 標的型ブルートフォース攻撃はDDoSにつながる可能性があり、サイトがクラッシュする可能性があるため、誰かがパスワードを忘れただけです。
この攻撃の最初の障害は、特定のユーザーが間違った資格情報でログインしようとした後、同じユーザーが正しい資格情報のセットで再度ログインしようとしても、WordPressが期限切れになるまでの待機時間を設定することです。
ここで、OWASP.orgのセキュリティ機能が役立ちます。 これは、ブルートフォース攻撃をブロックするのに役立つオープンソースソフトウェアです。
複数の失敗したログイン試行を処理する方法
WordPressサイトを常に最新の状態に保つ
WordPressは設定されたスケジュールでソフトウェアアップデートをリリースするので、それらを避けないでください。 これらの更新により、サイトのパフォーマンスが処理されます。これには、最新のセキュリティとプライバシーの設定が含まれます。 更新を続けることで、WordPressがサイトを保護できるようになります。これは、サイトを保護するためのステップ2です。
ログイン試行を制限する
デフォルトでは、WordPressは無制限のログイン試行を許可しますが、これは、WordPressをそのように実行させる必要があるという意味ではありません。 サイトでのログイン試行を3回に制限します(これは通常、許可される失敗した試行の推奨回数です)。 これを実現するには、プラグインを使用する方法とWordPressホストを使用する方法の2つがあります。
失敗したログイン試行を制限できる無料のプラグインは次のとおりです。
1.ログイン試行を制限する(偽のログインを停止する)
ログイン試行を制限する(偽のログインを停止する)
このプラグインは、設定された試行制限を超えるIPアドレスを自動的にブロックします。 このプラグインを使用すると、IPアドレスをブロックリストに手動で追加し、残りの再試行についてユーザーに通知し、電子メールまたはダッシュボードでロックされたユーザーのロックを解除する機能を提供します。 IPごとの再試行を制限し、GoogleCAPTCHAと互換性があります。
2.ログイン試行を制限する
ログイン試行を制限する
これは、ログイン試行を制限し、ログインセキュリティ、スパム保護を強化し、ブルートフォース攻撃保護を提供し、偽のユーザーからの登録をブロックし、Webサイトでのアクティビティに関するレポートと監査を取得できるプラグインです(必要に応じて、これらのレポートをエクスポートすることもできます)。 これは無料のオープンソースソフトウェアです。
ウェブホストのセキュリティ
不正なエントリからWordPressサイトを保護する場合でも、ホスティングプロバイダーのセキュリティはWordPressサイトのセキュリティと同じくらい重要であることを忘れないでください。 だからあなたのウェブホストプロバイダーの機能を見てみましょう。
たぶん、現在のプロバイダーのより高い計画にアップグレードする必要があるだけでなく、サーバーソフトウェアとハードウェアのセキュリティが強力かつ頻繁に更新される新しい信頼性の高いWebホスティングプロバイダーにサイトを移行することも検討してください。
サイトの安全性の問題を解決し、情報を保護できる24時間年中無休のテクニカルサポートチームを提供するチームを探してください。 あなたの完全なウェブサイトの自動バックアップを提供するホストも素晴らしい選択です。
すでに述べたように、これの一番の選択はWPMUDEVです。 WPMU DEV Hostingで私たちが最も気に入っているのは、他では見られないユニークで強力なホスティング機能が満載されていることです(7つの組み込みのプロWPプラグインなど)。 自分の目で確かめて、ここで彼らのホスティングプランのいずれかを20%オフにしてください。
ログインセキュリティを強化する
追加のセキュリティレイヤーとして2段階認証プロセスを有効にするWordPressセキュリティプラグインを使用します。 これを行うにはさまざまな方法があります。 コードはユーザーの電話、電子メールの確認などに送信されます。チームに最適なものは何でも。
1.iThemesセキュリティ
iThemesセキュリティ(以前のより良いWPセキュリティ)
このプラグインは、他の機能の中でも、次の機能を使用してWordPressログインを保護します:ユーザーがセキュリティコード(パスワードとともに)、電子メール、バックアップコード、およびGoogle認証を入力する必要がある2要素認証(2FA)。
2.SiteGroundセキュリティ
SiteGroundのセキュリティ
このプラグインでは、すべての管理者ユーザーがログイン時にGoogle認証アプリから生成されたトークンを提供する必要があります。
3.オールインワンWPセキュリティ
オールインワンWPセキュリティとファイアウォール
このプラグインには、「基本」、「中級」、「上級」のルールに分類されたセキュリティルールがあります。 100%無料で、ユーザーアカウントのセキュリティ、「ブルートフォースログイン攻撃」からサイトを保護するユーザーログインのセキュリティ、ユーザー登録のセキュリティなどの機能があります。
ネットワークセキュリティー
使用しているネットワークも、サイトにセキュリティ上の脅威をもたらす可能性があります。 パブリックネットワークは通常、十分に保護されていません。 コーヒーショップ、図書館、ショッピングセンターの公共ネットワークなどの場所について話しています。
パブリックWi-Fiネットワークでユーザーを保護するための重要な安全戦略は、仮想プライベートネットワークであるVPNを使用することです。 また、ビジネスなどで家庭用Wi-Fiを使用する場合にも優れた保護機能を備えているため、一部のプロバイダーを確認することを検討してください。
オフサイトセキュリティ
これは、WordPressサイトの保護のために覚えておくべき非常に重要なセキュリティ機能でもあります。 オフラインモードで使用されるすべてのアプリケーションとデータベースは潜在的なセキュリティリスクであるため、WordPressサイトと安全に統合されていることを確認してください。
結論
使いやすいウェブサイトビルダーとして、WordPressは何百万人もの人々に使用されています。 安全なサイトを確保するための最初のステップは、失敗したすべてのログイン試行を監視して正しく処理することにより、ブルートフォース攻撃を防ぐことです。 これは、Webサイトを保護するための必須の方法であり、ハッカーが頻繁に使用するタイプの攻撃です。
また、この記事で説明したセキュリティの他のすべての側面はサイトを保護するため、過小評価しないでください。