WordPressサイトをブルートフォース攻撃から保護する方法

WordPressウェブサイトはブルートフォース攻撃に対して脆弱ですか？これらの攻撃は、ウェブサイトの速度を低下させ、アクセスを困難にするだけでなく、ハッカーがパスワードを解読してマルウェアをインストールすることを可能にする可能性さえあります。これは、あなたのサイトとあなたのビジネスに深刻な損害を与える可能性があります。

WPBeginnerでは、サイトを安全に保つために、SucuriやCloudflareのようなセキュリティツールに大きく依存しています。Sucuriはかつて、3か月間に45万件のWordPress攻撃をブロックするのに役立ちました。

この記事では、WordPressサイトをブルートフォース攻撃から保護する方法を説明します。

ブルートフォース攻撃とは何ですか？

ブルートフォース攻撃とは、ウェブサイト、ネットワーク、またはコンピューターシステムに侵入するために試行錯誤を使用するハッキング手法です。

最も一般的なブルートフォース攻撃はパスワード推測です。ハッカーは自動化されたソフトウェアを使用してログイン情報を推測し続け、あなたのウェブサイトへのアクセスを試みます。

これらの自動ハッキングツールは、異なるIPアドレスや場所を使用することで自身を偽装することもでき、疑わしいアクティビティを特定してブロックすることがより困難になります。

ブルートフォース攻撃が成功すると、ハッカーはあなたのウェブサイトの管理エリアにアクセスできるようになります。彼らはマルウェアをインストールしたり、ユーザー情報を盗んだり、サイト上のすべてを削除したりできます。

たとえ失敗したブルートフォース攻撃であっても、WordPressホスティングサーバーに過剰なリクエストを送信することで大混乱を引き起こし、ウェブサイトの速度を低下させたり、完全にクラッシュさせたりする可能性があります。

さて、WordPressウェブサイトをブルートフォース攻撃から保護する方法を見ていきましょう。以下に手順を示します。

1. WordPressファイアウォールプラグインをインストールする

ブルートフォース攻撃はサーバーに大きな負荷をかけます。失敗した攻撃でさえ、ウェブサイトを遅くしたり、サーバーを完全にクラッシュさせたりする可能性があります。そのため、サーバーに到達する前にブロックすることが重要です。

そのためには、ウェブサイトファイアウォールソリューションが必要です。ファイアウォールは不正なトラフィックをフィルタリングし、サイトへのアクセスをブロックします。

使用できるウェブサイトファイアウォールには2種類あります。

• アプリケーションレベルファイアウォールは、トラフィックがサーバーに到達してからほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法では、ブルートフォース攻撃がサーバーの負荷に影響を与える可能性があるため、効率的ではありません。
• DNSレベルのウェブサイトファイアウォールは、ウェブサイトのトラフィックをクラウドプロキシサーバー経由でルーティングします。これにより、正規のトラフィックのみをメインのウェブホスティングサーバーに送信し、WordPressの速度とパフォーマンスを向上させることができます。

Sucuriの使用をお勧めします。彼らはウェブサイトセキュリティの業界リーダーであり、市場で最高のWordPressファイアウォールです。DNSレベルのウェブサイトファイアウォールを備えているため、すべてのウェブサイトトラフィックがプロキシを経由し、不正なトラフィックがフィルタリングされます。

私たちは自分のウェブサイトでSucuriを使用しています。詳細については、完全なSucuriレビューをご覧ください。

2. WordPressアップデートをインストールする

一般的なブルートフォース攻撃の中には、古いバージョンのWordPress、人気のWordPressプラグイン、またはテーマの既知の脆弱性を積極的に標的とするものがあります。

WordPressコアと最も人気のあるWordPressプラグインはオープンソースであり、脆弱性はアップデートで非常に迅速に修正されることがよくあります。ただし、アップデートをインストールしないと、それらの古い脅威に対してウェブサイトが脆弱なままになります。

WordPress管理画面のダッシュボード » 更新ページにアクセスするだけで、利用可能なアップデートを確認できます。このページには、WordPressコア、プラグイン、テーマのすべてのアップデートが表示されます。

詳細については、WordPressの安全なアップデート方法とWordPressプラグインの適切なアップデート方法に関するガイドをご覧ください。

3. WordPress管理ディレクトリを保護する

WordPressサイトへのほとんどのブルートフォース攻撃は、WordPress管理エリアへのアクセスを試みています。サーバーレベルでWordPress管理ディレクトリにパスワード保護を追加できます。これにより、WordPress管理エリアへの不正アクセスをブロックできます。

WordPressホスティングコントロールパネル（cPanel）にログインし、[ファイル]セクションの[ディレクトリプライバシー]アイコンをクリックするだけです。

注意：スクリーンショットではBluehostを使用していますが、HostGatorのような他のトップホスティング会社でも同様の設定が利用可能です。

次に、wp-adminフォルダを見つける必要があります。

見つけたら、その「編集」ボタンをクリックする必要があります。

次のページで、フォルダのセキュリティ設定を行うことができます。

まず、「このディレクトリをパスワードで保護する」のチェックボックスをオンにする必要があります。次に、保護されたディレクトリの名前を入力できます。

次に、ユーザー名とパスワードを入力するように求められます。

このディレクトリにアクセスしようとするたびに、この情報が求められます。

この情報を入力したら、「保存」ボタンをクリックして設定を保存してください。

WordPress管理ディレクトリはパスワードで保護されました。

WordPress管理エリアにアクセスすると、新しいログインプロンプトが表示されます。

404エラーまたはリダイレクトが多すぎるエラーメッセージが表示された場合は、WordPressの.htaccessファイルに次の行を追加する必要があります。

ErrorDocument 401 default

詳細については、WordPress管理ディレクトリのパスワード保護方法に関する記事をご覧ください。

4. WordPressに二要素認証を追加する

2要素認証は、WordPressのログイン画面にセキュリティ層を追加します。ユーザーは、WordPress管理エリアにアクセスするために、ログイン情報とともにワンタイムパスコードを生成するために電話が必要になります。

2要素認証を追加すると、たとえWordPressのパスワードを解読されたとしても、ハッカーがアクセスを奪うのがより困難になります。

詳細な手順については、WordPressに2要素認証を追加する方法のガイドをご覧ください。

5. ユニークで強力なパスワードを使用する

パスワードは、WordPressサイトやeコマースストアへのアクセスを許可する鍵です。すべてのあなたのアカウントに、ユニークで強力なパスワードを使用する必要があります。強力なパスワードとは、数字、文字、特殊文字の組み合わせです。

WordPressユーザーアカウントだけでなく、FTPクライアント、Webホスティングコントロールパネル、WordPressデータベースにも強力なパスワードを使用することが重要です。

多くの初心者は、これらのユニークなパスワードをすべてどのように覚えるか尋ねてきます。心配いりません。パスワードを安全に保存し、自動的に入力してくれる優れたパスワードマネージャーアプリがあります。

詳細については、WordPressのパスワードを管理する最良の方法に関する初心者向けガイドをご覧ください。

6. ディレクトリブラウジングを無効にする

デフォルトでは、ウェブサーバーがインデックスファイル（index.phpやindex.htmlなど）を見つけられない場合、ディレクトリの内容を表示するインデックスページが自動的に表示されます。

ブルートフォース攻撃中、ハッカーはこのようなディレクトリブラウジングを使用して脆弱なファイルを探すことがあります。これを修正するには、FTPサービスを使用して、WordPressの.htaccessファイルの末尾に次の行を追加する必要があります。

Options -Indexes

詳細については、WordPressでディレクトリブラウジングを無効にする方法に関する記事をご覧ください。

7. 特定のWordPressフォルダでのPHPファイル実行を無効にする

ハッカーは、WordPressフォルダにPHPスクリプトをインストールして実行したい場合があります。WordPressは主にPHPで書かれているため、すべてのWordPressフォルダで無効にすることはできません。

ただし、WordPressのアップロードフォルダ（/wp-content/uploads）のように、PHPスクリプトを必要としないフォルダもあります。

アップロードフォルダでPHP実行を無効にすることは安全です。これは、ハッカーがバックドアファイルを隠すために一般的に使用する場所です。

まず、お使いのコンピューターでメモ帳のようなテキストエディタを開き、次のコードを貼り付けます。

<Files *.php>
deny from all
</Files>

次に、このファイルを.htaccessとして保存し、FTPクライアントを使用してウェブサイトの/wp-content/uploads/フォルダにアップロードします。

8. WordPressバックアッププラグインをインストールして設定する

バックアップは、WordPressセキュリティの武器庫の中で最も重要なツールです。他のすべてが失敗した場合でも、バックアップがあればウェブサイトを簡単に復元できます。

ほとんどのWordPressホスティング会社は、限定的なバックアップオプションを提供しています。しかし、これらのバックアップは保証されておらず、独自のバックアップを作成する責任はあなた自身にあります。

自動バックアップをスケジュールできる、いくつかの優れたWordPressバックアッププラグインがあります。

私たちはDuplicatorの使用をお勧めします。初心者にも使いやすく、自動バックアップをすばやく設定し、Google Drive、Dropbox、Amazon S3、OneDriveなどのリモートロケーションに保存できます。

開始するために使用できるDuplicatorの無料版もあります。

手順については、Duplicatorを使用してWordPressサイトをバックアップする方法に関するこのガイドに従ってください。

上記のすべてのヒントは、ブルートフォース攻撃からWordPressサイトを保護するのに役立ちます。より包括的なセキュリティ設定については、初心者向けの究極のWordPressセキュリティガイドの手順に従ってください。

この記事が、ブルートフォース攻撃からWordPressサイトを保護する方法を学ぶのに役立ったことを願っています。また、ハッキングされたWordPressサイトを修正する方法のガイドや、最高のWordPressファイアウォールプラグインの専門家による選び方もご覧ください。

この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。