WordPress で複数回失敗したログイン試行を処理する方法
目を引くユーザーフレンドリーな Web サイトを構築するには多大な労力がかかるため、適切なセキュリティ対策を怠ったために Web サイトが悪者の手に渡ってしまうのを見るのは落胆するかもしれません。問題の最初の兆候は、誰かが無効な資格情報を使用して WordPress Web サイトにアクセスしようとしているというアラートを複数受け取ったときである可能性があります。
テクノロジーに精通した人の中には、ログイン試行の失敗についてあまり心配しない人もいます。結局のところ、どのサイトもブルート フォース攻撃やボット トラフィックを時折受けるのです。ただし、Web セキュリティは非常に重要であり、特に顧客の個人データを保存している場合は、WordPress サイトを保護するためにあらゆる手段を講じる必要があります。
WordPress サイトでログイン試行が複数回失敗する場合は、考えられる原因と解決策を調査する必要があります。ウェブサイトがそのような攻撃の標的になる理由と、システムのセキュリティを強化するために何ができるかを見てみましょう。
ログイン試行の失敗にはどのような意味があるのでしょうか?
WordPress のログイン試行失敗は通常、特定のユーザーが設定された期間内に何度もログインを試行した場合に表示されます。 「ログイン試行の失敗が多すぎます」というエラー メッセージが表示された場合は、WordPress がこの問題を登録しています。その後、正しいログイン資格情報を入力したとしても、待機時間が経過するまで WordPress はログインを許可しません。このセキュリティ機能は、ハッカーがブルート フォース攻撃によって Web サイトに不正にアクセスすることを防ぐために特別に設計されています。
サイトでログイン試行が時折失敗しても、パフォーマンスには影響しません。ただし、標的型ブルート フォース攻撃は帯域幅を過剰に消費するため、分散型サービス拒否(DDoS)が発生し、サイト全体がダウンする可能性があります。
ほとんどの攻撃の試みは、Web サイトを特にターゲットにしていません。代わりに、自動ボットはできるだけ多くのパスワードを推測するように設定されています。これらのボットは Web を巡回して、認証情報が弱くシステムが脆弱なサイトをランダムに乗っ取ろうとします。
これらの攻撃は個人や中小企業のサイトでは必ずしも一般的ではないため、Web プロバイダーは DDoS 攻撃を防ぐためのセキュリティ対策を提供する必要があります。それでも、WordPress サイトのアクティビティ ログ プラグインをダウンロードした人は、サイトでのログイン試行失敗の数に驚くことがあります。
時間をかけて偶発的なログイン失敗と標的型攻撃の違いを理解し、悪意のある者から身を守るための対策を講じてください。
複数回失敗したログイン試行を処理する方法
WordPress ウェブサイトのセキュリティには、必ずしも高度な技術知識は必要ありません。ここでは、学びやすいセキュリティ対策とツールを使用してサイトを保護する方法をいくつか紹介します。
ウェブサイトを常に最新の状態に保つ
WordPress コンテンツ管理システム (CMS) は、プライバシーやセキュリティを含むサイトのパフォーマンスを向上させるために、ソフトウェア更新を頻繁にリリースします。これにより、ユーザーはサイトを悪意のある脅威から確実に保護できます。したがって、Web サイトの更新は、WordPress がユーザーを保護するための最も基本的なセキュリティ対策の 1 つです。
驚くべきことに、最新バージョンの WordPress を実行しているユーザーは半数未満です。 Web サイトが古いバージョンを使用している場合、侵害や不正ユーザーのリスクが高まるため、できる限り最新の状態を保ってください。
ログイン試行を制限する
もう 1 つの効果的な戦略は、最初にユーザーが実行できるログイン試行回数を制限することです (3 回など)。 WordPress ではデフォルトで無制限のログイン試行が許可されていますが、これは変更できます。これには主に 2 つの方法があります。
1 つ目は、Limit Login Attempts Reloaded などのプラグインを使用する方法です。これは、一定回数のログイン試行が行われると、ユーザー名または IP アドレスによるさらなるログイン試行をブロックするように WordPress サイトを変更します (ログイン試行回数はユーザーが設定できます)。これにより、ハッカーがブルート フォース攻撃によってサイトにアクセスしようとすることが、完全に不可能ではないにしても、非常に困難になります。
2 番目の戦略は、WP Engine などの WordPress ホストを使用するもので、ログイン試行も制限できます。これは 6 年前に更新され、WP Engine がログイン試行制限プラグインを独自のセキュリティ機能に置き換えました。
Web ホストのセキュリティを考慮する
結局のところ、問題は WordPress が本質的に安全ではないということではなく、ほとんどの Web サイト所有者が、不正なアクセスからサイトを保護するために利用できる最も効果的な予防策を認識していないことです。資格情報を保護するための措置を講じたら、ホスティング プロバイダーのセキュリティについても考慮する必要があります。 Web ホスティング サービス プロバイダーは、サーバーを安全に保つ上で重要な役割を果たします。
現在のウェブ ホスティング プロバイダが信頼できない場合は、WordPress ウェブサイトを新しいウェブサイトに移行する必要があります。信頼できる Web ホスティング プロバイダーは、サーバー ハードウェアとソフトウェアのアップデートや不審なアクティビティがないかネットワークを定期的に測定します。
適切な技術的専門知識を備えた年中無休の強力なサポート チームを擁することは、情報を保護し、発生する可能性のある安全性や技術的な問題に対処するのにも役立ちます。一部のホスティング プラットフォームには、他のプラットフォームよりも多くのドキュメントとコミュニティ サポートがあるため、選択する際はこの点に留意してください。
安全なログイン資格情報を活用する
多くのユーザーが犯す間違いの 1 つは、「administrator」、「test」、「admin」などの一般的なユーザー名とパスワードを使用することです。これにより、Web サイトがブルート攻撃の危険にさらされるため、固有のログイン詳細と資格情報を設定することが重要です。パスワードを推測されにくくするために、小文字と大文字、特殊文字、数字の両方を組み込むようにしてください。
また、ログイン試行が複数回失敗した場合は、WordPress でユーザーの ID をブロックすることも検討することをお勧めします。そうすることで、攻撃者がパスワードを推測する可能性が大幅に減少します。
同様に、2 要素認証を有効にしてログイン セキュリティを強化し、WordPress サイトを保護できます。この認証技術は、ユーザー名とパスワードに加えて一意のコード (多くの場合携帯電話に送信される) を入力する必要があるため、追加のセキュリティ層として機能します。これは、万能の WordPress セキュリティ プラグイン、または WP 2FA のようなより具体的なセキュリティ プラグインを利用して簡単に追加できます。
ネットワークのセキュリティに注意する
Web サイトの脆弱性はログイン認証情報だけではありません。サイトの稼働を維持するサーバーやアプリケーションなどのバックエンド機能も、ハッカーが Web サイトに侵入する手段となります。サイバーセキュリティ ソフトウェア開発キットや API などの柔軟なセキュリティ プラットフォームを活用して、システムを監視し、悪影響が及ぶ前にセキュリティ バグを早期に発見する必要があります。
さらに、適切に保護された WordPress Web サイトであっても、ログインする前に使用しているネットワークに注意してください。図書館やコーヒーショップなどの公共ネットワークは十分に保護されていない可能性があります。
プライバシー カナダのサイバーセキュリティ専門家ルドヴィック レンバート氏によると、公共の場所でオンラインになる前にログイン資格情報を保護するには、仮想プライベート ネットワーク (VPN) の使用が最も効果的な戦略です。これにより、公開 Web 上ではなく、暗号化されたチャネルで操作できるようになります。
「仮想プライベート ネットワークは、在宅勤務時、特に公衆 Wifi に接続している場合の防御の最前線です」と Rembert 氏は言います。 「VPN は、ユーザー (つまりあなた) とサーバー (つまりインターネット) の間を流れる暗号化されたデータの仮想トンネルを作成するサービスです。肝心なのは、VPN は、スパイ、ハッカー、スヌープ、その他あなたの情報を盗んで収益化しようとする可能性のある人物からあなたの情報を隠すということです。 」
WordPress サイトは単独で動作するわけではないため、オフサイトのセキュリティの一部としてシステムで使用される他のアプリケーションやデータベースも考慮する必要があります。特にクラウドベースのアプリケーションを使用している場合は、クラウドベースのセキュリティが従来のプラットフォームとは異なるため、アプリケーションが安全に統合されていることを確認してください。
WordPress は使いやすい Web サイトビルダーですが、だからといって、誤った安心感に惑わされる必要はありません。プラットフォームに関係なく、ブルート フォース攻撃やその他のハッキングを防ぐ自動セキュリティ ツールとバックアップ ツールは、Web サイトを保護するために必須です。
最悪のシナリオでは、これらを利用して侵害されたサイトを復元し、データを保護できます。 WordPress の場合、実装する他のネットワーク セキュリティ層に加えて、複数の失敗した試行をブロックし、2 要素認証を使用すると、サイトの安全を保つことができます。