WordPressサイトをブルートフォース攻撃から保護する方法

WordPressウェブサイトはブルートフォース攻撃に対して脆弱ですか？これらの攻撃は、ウェブサイトの速度を低下させ、アクセスを困難にするだけでなく、ハッカーがパスワードを解読してマルウェアをインストールすることを可能にする可能性さえあります。これは、あなたのサイトとあなたのビジネスに深刻な損害を与える可能性があります。

WPBeginnerでは、サイトを安全に保つために、SucuriやCloudflareのようなセキュリティツールに大きく依存しています。Sucuriは、3か月間で450,000件のWordPress攻撃をブロックするのに役立ちました。

この記事では、WordPressサイトをブルートフォース攻撃から保護する方法を説明します。

ブルートフォース攻撃とは何ですか？

ブルートフォース攻撃とは、ウェブサイト、ネットワーク、またはコンピューターシステムに侵入するために試行錯誤を使用するハッキング手法です。

最も一般的なブルートフォース攻撃はパスワード推測です。ハッカーは自動化されたソフトウェアを使用してログイン情報を推測し続け、あなたのウェブサイトへのアクセスを試みます。

これらの自動ハッキングツールは、異なるIPアドレスや場所を使用することで自身を偽装することもでき、疑わしいアクティビティを特定してブロックすることがより困難になります。

ブルートフォース攻撃が成功すると、ハッカーはあなたのウェブサイトの管理エリアにアクセスできるようになります。彼らはマルウェアをインストールしたり、ユーザー情報を盗んだり、サイト上のすべてを削除したりすることができます。

大量の要求を送信することで、たとえ失敗したとしても、ブルートフォース攻撃はあなたのWordPressホスティングサーバーに大損害を与え、ウェブサイトの速度を低下させたり、完全にクラッシュさせたりする可能性があります。

それでは、ブルートフォース攻撃からWordPressウェブサイトを保護する方法を見ていきましょう。以下の手順で進めます。

1. WordPressファイアウォールプラグインをインストールする
2. WordPressのアップデートをインストールする
3. WordPress管理ディレクトリを保護する
4. WordPressに二要素認証を追加する
5. ユニークで強力なパスワードを使用する
6. ディレクトリブラウジングを無効にする
7. 特定のWordPressフォルダでPHPファイル実行を無効にする
8. WordPressバックアッププラグインをインストールして設定する

1. WordPressファイアウォールプラグインをインストールする

ブルートフォース攻撃はサーバーに大きな負荷をかけます。失敗した攻撃でさえ、ウェブサイトを遅くしたり、サーバーを完全にクラッシュさせたりする可能性があります。そのため、サーバーに到達する前にブロックすることが重要です。

これを行うには、ウェブサイトファイアウォールソリューションが必要です。ファイアウォールは不正なトラフィックをフィルタリングし、サイトへのアクセスをブロックします。

使用できるウェブサイトファイアウォールには2種類あります。

• アプリケーションレベルファイアウォールは、トラフィックがサーバーに到達してからほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法では、ブルートフォース攻撃がサーバーの負荷に影響を与える可能性があるため、効率的ではありません。
• DNSレベルのウェブサイトファイアウォールは、ウェブサイトのトラフィックをクラウドプロキシサーバー経由でルーティングします。これにより、正規のトラフィックのみをメインのウェブホスティングサーバーに送信し、WordPressの速度とパフォーマンスを向上させることができます。

Sucuriの使用をお勧めします。彼らはウェブサイトセキュリティの業界リーダーであり、市場で最高のWordPressファイアウォールです。彼らはDNSレベルのウェブサイトファイアウォールを持っているため、すべてのウェブサイトのトラフィックが彼らのプロキシを通過し、そこで不正なトラフィックがフィルタリングされます。

当社ではSucuriをウェブサイトで使用しています。詳細については、Sucuriの完全なレビューをお読みください。

2. WordPressアップデートをインストールする

一般的なブルートフォース攻撃の中には、WordPressの古いバージョン、人気のWordPressプラグイン、またはテーマの既知の脆弱性を積極的に標的とするものがあります。

WordPressのコアと最も人気のあるWordPressプラグインはオープンソースであり、脆弱性はアップデートによって非常に迅速に修正されることがよくあります。しかし、アップデートをインストールしないと、古い脅威に対してウェブサイトが脆弱なままになります。

WordPress管理画面のダッシュボード » 更新ページにアクセスするだけで、利用可能なアップデートを確認できます。このページには、WordPressコア、プラグイン、テーマのすべてのアップデートが表示されます。

詳細については、WordPressを安全にアップデートする方法およびWordPressプラグインを適切にアップデートする方法に関するガイドをご覧ください。

3. WordPress管理ディレクトリを保護する

WordPressサイトへのほとんどのブルートフォース攻撃は、WordPress管理エリアへのアクセスを試みています。サーバーレベルでWordPress管理ディレクトリにパスワード保護を追加できます。これにより、WordPress管理エリアへの不正アクセスをブロックできます。

WordPressホスティングコントロールパネル（cPanel）にログインし、[ファイル]セクションの[ディレクトリプライバシー]アイコンをクリックするだけです。

注意：スクリーンショットではBluehostを使用していますが、HostGatorのような他の主要なホスティング会社でも同様の設定が利用可能です。

次に、wp-adminフォルダを見つける必要があります。

見つけたら、その「編集」ボタンをクリックする必要があります。

次のページで、フォルダのセキュリティ設定を行うことができます。

まず、「このディレクトリをパスワードで保護する」のチェックボックスをオンにする必要があります。次に、保護されたディレクトリの名前を入力できます。

次に、ユーザー名とパスワードを入力するように求められます。

このディレクトリにアクセスしようとするたびに、この情報が求められます。

この情報を入力したら、「保存」ボタンをクリックして設定を保存してください。

WordPress管理ディレクトリはパスワードで保護されました。

WordPress管理エリアにアクセスすると、新しいログインプロンプトが表示されます。

404エラーやリダイレクトが多すぎるエラーメッセージが表示された場合は、WordPressの.htaccessファイルに次の行を追加する必要があります。

ErrorDocument 401 default

詳細については、WordPress管理ディレクトリのパスワード保護方法に関する記事をご覧ください。

4. WordPressに二要素認証を追加する

2要素認証は、WordPressのログイン画面にセキュリティ層を追加します。ユーザーは、WordPress管理エリアにアクセスするために、ログイン情報とともにワンタイムパスコードを生成するために電話が必要になります。

2要素認証を追加すると、ハッカーがWordPressパスワードを解読できたとしても、アクセスが困難になります。

詳細な手順については、WordPressに2要素認証を追加する方法に関するガイドをご覧ください。

5. ユニークで強力なパスワードを使用する

パスワードは、WordPressサイトやeコマースストアにアクセスするための鍵です。すべてのアカウントに、ユニークで強力なパスワードを使用する必要があります。強力なパスワードとは、数字、文字、特殊文字の組み合わせです。

WordPressユーザーアカウントだけでなく、FTPクライアント、ウェブホスティングコントロールパネル、WordPressデータベースにも強力なパスワードを使用することが重要です。

多くの初心者は、これらのユニークなパスワードをすべてどのように覚えるか尋ねてきます。心配いりません。パスワードを安全に保存し、自動的に入力してくれる優れたパスワードマネージャーアプリがあります。

詳細については、WordPress初心者のためのパスワード管理のベストな方法に関する初心者向けガイドをご覧ください。WordPressのパスワード管理のベストな方法。

6. ディレクトリブラウジングを無効にする

デフォルトでは、ウェブサーバーがインデックスファイル（index.phpやindex.htmlなど）を見つけられない場合、ディレクトリの内容を表示するインデックスページが自動的に表示されます。

ブルートフォース攻撃中、ハッカーはディレクトリブラウジングを使用して脆弱なファイルを探すことができます。これを修正するには、FTPサービスを使用して、WordPressの.htaccessファイルの末尾に次の行を追加する必要があります。

Options -Indexes

詳細については、WordPressでディレクトリブラウジングを無効にする方法に関する記事をご覧ください。

7. 特定のWordPressフォルダでのPHPファイル実行を無効にする

ハッカーは、WordPressフォルダにPHPスクリプトをインストールして実行したい場合があります。WordPressは主にPHPで書かれているため、すべてのWordPressフォルダで無効にすることはできません。

ただし、WordPressのアップロードフォルダ（/wp-content/uploads）のように、PHPスクリプトを必要としないフォルダもあります。

アップロードフォルダでは、ハッカーがバックドアファイルを隠すために一般的に使用する場所であるため、PHP実行を無効にしても安全です。

まず、お使いのコンピューターでメモ帳のようなテキストエディタを開き、次のコードを貼り付けます。

<Files *.php>
deny from all
</Files>

次に、このファイルを.htaccessとして保存し、FTPクライアントを使用して、ウェブサイトの/wp-content/uploads/フォルダにアップロードします。

8. WordPressバックアッププラグインをインストールして設定する

バックアップは、WordPressセキュリティの武器庫の中で最も重要なツールです。他のすべてが失敗した場合でも、バックアップがあれば簡単にウェブサイトを復元できます。

ほとんどのWordPressホスティング会社は、限定的なバックアップオプションを提供しています。しかし、これらのバックアップは保証されておらず、独自のバックアップを作成する責任はあなた自身にあります。

自動バックアップをスケジュールできる、優れたWordPressバックアッププラグインがいくつかあります。

Duplicatorの使用をお勧めします。初心者にも使いやすく、Googleドライブ、Dropbox、Amazon S3、OneDriveなどのリモートロケーションに自動バックアップを保存し、迅速に設定できます。

また、Duplicatorの無料バージョンもあり、これを使って始めることができます。

Duplicator を使用して WordPress サイトをバックアップする方法については、こちらのガイドで手順をご確認ください。WordPress サイトをバックアップする方法

上記のヒントはすべて、WordPressサイトをブルートフォース攻撃から保護するのに役立ちます。より包括的なセキュリティ設定については、初心者向けのWordPressセキュリティの完全ガイドの手順に従ってください。

この記事が、WordPressサイトをブルートフォース攻撃から保護する方法を学ぶのに役立ったことを願っています。また、ハッキングされたWordPressサイトの修復方法に関するガイドや、最高のWordPressファイアウォールプラグインの専門家による選び方もご覧ください。

この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。