複数の主要な情報源により、現在WordPressおよびJoomlaサイトを標的とした大規模なブルートフォース攻撃が行われていることが確認されています。HostGator、InMotion Hosting、LiquidWebなど、多くのホスティング会社が顧客にこの問題について通知しています。ハッカーのボットネットは90,000以上の異なるIPアドレスを含んでおり、一般的な間違いを犯しているWordPress初心者たちを狙っています。はい、これはすべて恐ろしいことに聞こえますので、ハッキングされる可能性を減らすために行うべきことを以下に示します。
1. 管理者ユーザー名の使用を停止する
初心者は、admin、administrator、test、rootなどの一般的なユーザー名をよく使用します。Sucuriの同僚によると、これらのユーザー名は現在激しく標的にされています。adminのような一般的なWordPressユーザー名を使用している場合は、すぐに変更する必要があります。
WordPressでユーザー名を変更する方法を説明する、わかりやすいチュートリアルがあります。
2. 強力なパスワードを使用する
非常に強力なパスワードを使用してください。これらのブルートフォース攻撃は、人々が使用する最も一般的なパスワードをすべて標的にしようとします。強力なパスワードには、大文字と小文字の文字、数字、記号が含まれます。複数の場所で同じパスワードを使用しないでください。1PasswordやLastPassのようなパスワード管理ソリューションの使用を開始するのに遅すぎるということはありません。
3. 適切なバックアップを維持する
ウェブサイトの最高のセキュリティは、優れたバックアップソリューションです。私たちは月額サービスであるVaultPressを使用しています。ただし、月額料金を支払いたくない場合は、BackupBuddyを取得することを強くお勧めします。
ほとんどのホスティング会社はバックアップを取らないので、サイトの良いバックアップを維持してください。
4. 二要素認証を使用する
2要素認証の使用を開始してください。これにより、誰かがパスワードを推測したとしても、セキュリティコードを持っていないためサイトにアクセスできません。すぐにこれを行うことを強くお勧めします。
5. WP-Adminをパスワードで保護し、ログイン試行を制限する
私たちは常にユーザーにログイン試行回数を制限することをお勧めしています。ただし、このボットネットには90,000のIPが含まれているため、これだけではすべての攻撃から保護することはできません。もう1つの対策として、WP-adminディレクトリのパスワード保護を行うことができます。また、wp-login.phpファイルを特定のIPに制限することもできます。
6. Sucuri の使用を開始する
Sucuriを使用していない場合は、Sucuriの使用を開始することを強くお勧めします。彼らは常に物事のトップにあり、WordPressのセキュリティに関しては、私たちがより信頼できる人はいません。私たちがSucuriを使用する5つの理由をご覧ください。
これらの攻撃の最終的な目的が何であるかは定かではありませんが、どのような目的であれ、ユーザーがこれに陥るのを見るのは避けたいです。サイトを最新の状態に保ち、上記のすべてのヒントに従ってください。
イジー・ヴァネック
個人的には、別のヒントをお勧めします。私はGEO-IPプラグインを使用して管理エリアを保護しています。このプラグインは、一部のウェブサイトでは特定の国からのアクセスのみに制限され、他のウェブサイトでは特定のIPアドレスに限定されます。管理アクセスが特定のIPアドレスに制限されている場合、攻撃者は比較的お手上げ状態になるため、これは非常に優れた保護を提供します。
プラグインを使用したくない人のために、.htaccessファイルを使用して特定のIPアドレスからの管理アクセスを制限できます。これは非常にシンプルですが、非常に効果的なソリューションです。
ジャネット
私はクライアントのサイトのセキュリティ保護に取り組んでおり、wp-admin フォルダをパスワードで保護する必要があります。問題が発生しており、誰か助けてくれることを願っています。cPanel でそのフォルダを pw-protect しようとすると、Frontpage Extensions がインストールされているというエラーが表示され、pw-protect が妨げられます。拡張機能をアンインストールしようとすると、このメッセージが表示されます。
Warning: FrontPage拡張機能をインストールまたはアンインストールすると、すべての“.htaccess”ファイルが失われます。“.htaccess”ファイルに行った変更はすべて失われます。
もし私がこのページhttps://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/で指示されたとおりに.htacessのバックアップを作成した場合、それは十分でしょうか?
ご協力と、非常に役立つすべての情報に感謝します!
編集スタッフ
バックアップがあれば、問題なく進めるはずです。
管理者
ジャネット
ありがとうございます!.htacessで問題が発生しましたが、ウェブホストがすべてを解決してくれました。大変助かりました!
サラ B R
こんにちは。
2段階認証のガイドラインに従ったところ、数日前の初回は正常に機能しました。
今日ログインしようとして、スマートフォンのアプリにアクセスしたのですが、追加したWordPressアカウントが見当たりません。そのため、現在ログインできません。
ご協力ありがとうございます。
編集スタッフ
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
管理者
エドウィン・リンチ
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
ラトネシュ
ログインロックダウンは、ブルートフォース攻撃からWordPressのブログを保護するための最高のプラグインです
ロバート・コナー
私のサイト管理パネルは毎日ログイン試行で攻撃されているので、良いアドバイスです!
ジェーン
ブルートフォース攻撃を受けたかどうかはどうすればわかりますか?私のクライアントは最近WPサイトで問題を抱えているので、これが原因かどうか疑問に思っています。
Jennifer
現在、ブルートフォース攻撃を受けているサイトがあります。それは執拗です。そのサイトはSUCURI(ありがたいことに!)を使用しており、彼らはすでに一度私たちをクリーンアップしてくれました。
素晴らしい情報をありがとうございます、Syed&チーム。二要素認証を追加しました。残りの提案もできるだけ早く実施します。
エスター
無料ビデオへのリンクをありがとうございます。昨日WPサイトを始めたばかりで、Bloggerサイトを運営していたのですが、うまくいきません!私はかなり技術に詳しいのですが、何が問題なのか全くわかりません。とにかく問題があるということです!笑
キース・デイビス
皆さん、こんにちは。
Sucuriのウェブサイトの記事を読んでみてください。私は彼らと一緒に仕事をしており、他にもいくつかのセキュリティ対策を使用しています。
#WordPressであなたに言及しました
スコット・ハック
3.6のコアにログイン制限を追加してほしいです