Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPBカップ
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPressへのDDoS攻撃を阻止・防止する方法

編集メモ: WPBeginner のパートナーリンクから手数料を得ています。手数料は編集者の意見や評価に影響を与えません。編集プロセスについて詳しく知る。

WordPressは、強力な機能と安全なコードベースを提供するため、世界で最も人気のあるサイトビルダーの1つです。しかし、そのためにDDoS攻撃の標的にもなっています。

ハッカーはDDoS攻撃を使ってサイトの速度を落とし、最終的にユーザーがアクセスできないようにする。このような攻撃は、小規模なサイトから大規模なサイトまでターゲットにすることができます。

さて、WordPressを使用している中小企業のサイトが、限られたリソースでどのようにしてこのようなDDoS攻撃を防ぐことができるのか、不思議に思われるかもしれません。

このガイドでは、WordPressのDDoS攻撃を効果的に阻止・防止する方法を紹介します。私たちの目標は、DDoS攻撃に対するあなたのサイトのセキュリティを完全なプロのように管理する方法を学んでいただくことです。

Stopping and preventing a DDOS attack on a WordPress site

DDoS攻撃とは何か?

DDoS(Distributed Denial of Service)とは、危険なコンピューターや端末を使用してWordPressホスティングサービスサーバーにデータを送信または要求するサイバー攻撃の一種です。これらのリクエストの目的は、標的となるサーバーの速度を低下させ、最終的にクラッシュさせることです。

DDoS攻撃は、DoS(サービス拒否)攻撃から発展したものである。DoS攻撃とは異なり、DDoS攻撃は、さまざまな地域に広がる多数の侵害されたマシンやサーバーを利用します。

これらの侵害されたマシンはネットワークを形成し、ボットネットと呼ばれることもある。感染したマシンはそれぞれボットとして動作し、標的となるシステムやサーバーに攻撃を仕掛けます。これにより、ボットはしばらくの間気づかれることなく、ブロックされる前に最大限のダメージを与えることができる。

DDoS attack diagram

最大手のインターネット企業でさえ、DDoS攻撃には弱い。

2018年、人気のコードホスティングサービスであるGitHubは、サーバーに毎秒1.3テラバイトのトラフィックを送る大規模なDDoS攻撃を目撃した。

また、DYN(DNSサービスプロバイダー)への悪名高い2016年の攻撃を覚えているかもしれない。この攻撃は、Amazon、Netflix、PayPal、Visa、Airbnb、The New York Times、Reddit、その他何千ものサイトなど、多くの人気サイトに影響を与えたため、世界的なニュースとして報道された。

DDoS FAQ

DDoS攻撃に関するよくある質問にお答えします。

DDoS攻撃はなぜ起こるのか?

DDoS攻撃の背景にはいくつかの動機があります。ここでは一般的なものをいくつか紹介します:

  • 技術に精通し、ただ退屈している人たちは、冒険的だと感じる。
  • 政治的主張をする人々やグループ
  • 特定の国や地域のサイトやサービスを対象とするグループ
  • 特定の企業やサービスプロバイダーを標的に、金銭的な損害を与える攻撃を行う。
  • 身代金目的の恐喝

ブルートフォース攻撃とDDoS攻撃の違いとは?

Brute force attack

ブルートフォース攻撃は、パスワードを推測したり、ランダムな組み合わせを試したりすることで、システムへの不正アクセスを試みる。

DDoS攻撃は、純粋に標的のシステムをクラッシュさせ、低速にしたりアクセス不能にしたりするために使われる。

詳しくは、WordPressでブルートフォース攻撃をブロックする方法をご覧ください。

DDoS攻撃はどのような被害をもたらすのか?

DDoS攻撃は、サイトのパフォーマンスを低下させたり、アクセス不能にしたりします。その結果、ユーザーエクスペリエンスが低下し、ビジネスを失い、攻撃を軽減するためのコストが数千ドルに上ることもあります。

以下はその内訳である:

  • サイトにアクセスできないことによる事業の損失
  • サービス停止に関連するクエリーに対応するためのカスタマサポートのコスト
  • セキュリティ・サービスやサポートを雇うことによって攻撃を軽減するコスト
  • 最大のコストは、ユーザー・エクスペリエンスとブランド評価の低下である。

WordPressでDDoS攻撃を阻止・防止するには?

DDoS攻撃は巧妙に偽装され、対処が難しい場合があります。しかし、基本的なセキュリティのベストプラクティスを実践すれば、WordPress サイトへの DDoS 攻撃を防ぎ、簡単に阻止することができます。

ここでは、サイトへのDDoS攻撃を防ぎ、阻止するために必要な手順を説明します:

DDoS/ブルートフォース・アタック・バーティカルの削除

WordPressの最も優れた点は、柔軟性が高いことです。WordPressでは、サードパーティのプラグインやツールをサイトに統合し、新しい機能を追加することができます。

そのために、WordPressはいくつかのAPIをプログラマーに公開している。これらのAPIは、サードパーティのWordPressプラグインやサービスがWordPressとやりとりするためのメソッドです。

しかし、これらのAPIのいくつかは、DDoS攻撃中に大量のリクエストを送信することで悪用される可能性もある。これらのリクエストを減らすために、安全に無効化することができます。

WordPressでXML-RPCを無効化する

XML-RPCを使用すると、サードパーティのアプリがWordPressサイトとやり取りできるようになります。例えば、携帯端末でWordPressアプリを使用するにはXML-RPCが必要です。

モバイル・アプリを使ってサイトを運営していない大多数のユーザーと同じであれば、サイトの.htaccessファイルに以下のコードを追加するだけで、XML-RPCを無効化することができます:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

別の方法については、WordPressでXML-RPCを簡単に無効化する方法をご覧ください。

WordPressでREST APIを無効化する

WordPress JSON REST APIにより、プラグインやツールはWordPressのデータにアクセスしたり、コンテンツを更新したり、削除したりすることができます。ここでは、WordPress の REST API を無効化する方法を説明します。

WPCodeプラグインの使用をお勧めします。これは、わずか数クリックでREST APIを無効化することを有効化する最高のコードスニペットプラグインです。

詳しくは、WordPress で JSON REST API を無効化する方法をご覧ください。

あるいは、Disable WP Rest APIプラグインを使用することもできます。このプラグインはログアウト中に動作し、ログイン中でないすべてのユーザーに対してREST APIを無効化します。

WAF(サイトアプリケーションファイアウォール)の有効化

Website Application Firewall (WAF)

REST APIやXML-RPCのような攻撃ベクトルを無効化しても、DDoS攻撃に対する防御には限界があります。あなたのサイトは通常の HTTP リクエストに対してまだ脆弱です。

小規模なDDoS攻撃であれば、悪質なマシンのIPをキャッチして手動でブロックすることで軽減できますが、大規模な攻撃に対処する場合、この方法はあまり効果的ではありません。

不審なリクエストをブロックする最も簡単な方法は、サイトアプリケーションファイアウォールを有効化することです。

ウェブサイトアプリケーションファイアウォールは、あなたのウェブサイトとすべての受信トラフィックの間のプロキシとして機能します。スマートなアルゴリズムを使用して、疑わしいリクエストをすべてキャッチし、サイトサーバーに到達する前にブロックします。

Website application firewall

Sucuriの使用をお勧めするのは、WordPressのセキュリティプラグインおよびサイトファイアウォールとして最高だからです。SucuriはDNSレベルで動作するため、DDoS攻撃がサイトにリクエストを送る前にキャッチすることができます。

Sucuriの価格は年間199.99ドルから。

WPBeginnerではSucuriを使用しています。私たちのサイトへの何十万もの攻撃をどのようにブロックしているかについては、私たちのケーススタディをご覧ください。

あるいは、Cloudflareを使うこともできます。ただし、Cloudflareの無料サービスでは、限定的なDDoS防御しかできません。少なくとも、レイヤー7のDDoS防御のためのビジネスプランにサインアップする必要があります。

詳細な比較は、SucuriとCloudflareの比較投稿をご覧ください。

注:アプリケーション・レベルで動作するサイト・アプリケーション・ファイアウォール(WAF)は、DDoS攻撃時にはあまり効果がありません。すでにWebサーバーに到達したトラフィックをブロックするため、サイト全体のパフォーマンスに影響を与えます。

ブルートフォース攻撃かDDoS攻撃かを識別する

ブルートフォース攻撃とDDoS攻撃はどちらもサーバーリソースを集中的に使用するため、その症状はよく似ています。サイトが遅くなり、クラッシュする可能性があります。

ブルートフォース攻撃かDDoS攻撃かは、Sucuriプラグインのログインレポートを見れば簡単にわかります。

無料のSucuriプラグインをインストールして有効化し、Sucuri Security ” Last Loginsページにアクセスするだけです。

Failed logins

ランダムなログイン要求が大量に表示される場合は、wp-adminがブルートフォース攻撃を受けていることを意味します。ブルートフォースアタックを阻止するには、WordPressでブルートフォースアタックをブロックする方法をご覧ください。

DDoS攻撃時の対処法

DDoS攻撃は、ウェブ・アプリケーション・ファイアウォールやその他の保護策を講じていても発生する可能性があります。CloudFlareやSucuriのような企業は、このような攻撃に定期的に対処しており、たいていの場合、攻撃を簡単に軽減できるため、このような攻撃について耳にすることはありません。

しかし、このような攻撃が大規模なものである場合でも、影響を受けるケースがあります。その場合、DDoS攻撃中および攻撃後に発生する可能性のある問題を軽減するための準備をしておくのが最善です。

以下は、DDoS攻撃の影響を最小限に抑えるためにできることです。

1.チームメンバーへの注意喚起

チームに所属しているなら、同僚にこの問題を知らせる必要がある。

これは、カスタマーサポートへのクエリーに備え、起こりうる問題に注意し、攻撃中や攻撃後に支援するのに役立つ。

2.不便をカスタマイザーに知らせる

DDoS攻撃はサイトのユーザーエクスペリエンスに影響を与えます。WooCommerceストアを運営している場合、カスタマイザーが注文できなかったり、アカウントにログインできなかったりする可能性があります。

ソーシャルメディアのアカウントを通じて、サイトが技術的な問題を抱えており、すべてが間もなく正常に戻ることを発表することができます。

攻撃が大規模なものであれば、メールマーケティングサービスを使ってカスタマイザーとコミュニケーションをとり、ソーシャルメディアの更新をフォローしてもらうこともできる。

もしVIPカスタマイザーがいるのであれば、ビジネスフォンサービスを使って個別に電話をかけ、サービス復旧のためにどのように取り組んでいるかを伝えるとよいだろう。

このような厳しい時期におけるコミュニケーションは、ブランドの評判を維持する上で大きな違いを生む。

3.ホスティングサービスおよびセキュリティサポートへのお問い合わせ

WordPressホスティングサービスプロバイダーに連絡してください。あなたのサイトへの攻撃は、プロバイダーのシステムを標的とした大規模な攻撃の一部かもしれません。その場合、プロバイダーは状況について最新の更新情報を提供してくれるでしょう。

ファイアウォールサービスに連絡し、あなたのサイトがDDoS攻撃を受けていることを伝えましょう。より早く状況を緩和し、より多くの情報を提供してくれるかもしれません。

Sucuriのようなファイアウォール・プロバイダーでは、設定を「パラノイド・モード」にすることもでき、多くのリクエストをブロックし、通常のユーザーがサイトにアクセスできるようにすることができます。

WordPressサイトを安全に保つ方法

WordPressは箱から出してもかなり安全だ。しかし、世界で最も人気のあるサイトビルダーであるため、ハッカーに狙われることも多い。

幸いなことに、あなたのサイトに適用できるセキュリティのベストプラクティスはたくさんあります。

初心者のためのWordPressセキュリティガイドをステップごとにまとめました。一般的な脅威からサイトとそのデータを保護するために、WordPressの最適なセキュリティ設定を順を追って説明します。

WordPressのセキュリティ向上に関する他の投稿もご覧ください:

この投稿がWordPressのDDoS攻撃をブロックし、防ぐ方法を学ぶのにお役に立てば幸いです。また、最も一般的な WordPress エラーの修正方法や、専門家が選ぶ最高の WordPress マネージドホスティングサービスプロバイダーのガイドもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源 をご覧ください。3$編集プロセスをご覧ください。

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

究極のWordPressツールキット

ツールキットへの無料アクセス - すべてのプロフェッショナルが持つべきWordPress関連製品とリソースのコレクション!

Reader Interactions

7件のコメント返信を残す

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Mrteesurez says

    Helpful article, I have learnt and understood what DDoS attack is and how to stop and prevent them on website but how can a some say whether it’s a brutal force or DDoS attack when he has not been using any firewall plugin ?

    • WPBeginner Support says

      Your hosting provider can help narrow down what type of attack was affecting your site.

      管理者

  3. Jiří Vaněk says

    Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.

  4. Prabuddh says

    Disable XML RPC in WordPress Code is wrong,
    The code ends with but you ended with which gives an error, Please solve this.

    Thanks

    • WPBeginner Support says

      We di bit see your recommendations in your comment but we did find a typo and it should be fixed :)

      管理者

  5. Mohamad EL-Wakeel says

    great articles, but would you make one as comparison between
    DDoS Attack & Brute Force Attack, and how to detect both.

    Thanks.

返信を残す

コメントありがとうございます。すべてのコメントは私たちのコメントポリシーに従ってモデレートされ、あなたのメールアドレスが公開されることはありませんのでご留意ください。名前欄にキーワードを使用しないでください。個人的で有意義な会話をしましょう。