WordPress ブルート フォース保護の完全ガイド (+4 つのベスト プラグイン)

ハッカーが常に新しいパスワードを試してサイト ファイルにアクセスしようとすると、ブルート フォース攻撃が発生します。 成功すると、個人データを盗んだり、マルウェアを追加したり、Web サイトを完全にダウンさせたりする可能性があります。

幸いなことに、これらのブルート フォース攻撃は簡単に防ぐことができます。 ログイン情報を更新するか、2 要素認証を有効にするだけで、ハッカーが Web サイトに侵入するのをより困難にすることができます。 別の効果的な方法は、Jetpack のようなブルー​​ト フォース保護プラグインをインストールすることです。

この投稿では、ブルート フォース攻撃とは何か、およびそれを防ぐ方法について説明します。 次に、ブルート フォース保護に最適なプラグインをお勧めします。

ブルートフォース攻撃の紹介

ブルート フォース攻撃は、ハッカーが試行錯誤を繰り返して Web サイトにアクセスするときに発生します。 これには通常、自動化されたソフトウェアを使用してログイン情報を推測することが含まれます。 基本的に、ハッカーは、あなたのものを見つけるまで、さまざまなパスワードとユーザー名の組み合わせを試します。

他の形式のハッキングは通常、WordPress Web サイトの脆弱性を悪用します。 たとえば、ハッカーは、古いソフトウェア、プラグイン、またはテーマを介してデータにアクセスできます. PHP のバージョンが古い場合でも、サイトが脆弱なままになる可能性があります。

一方、ブルート フォース攻撃は脆弱なログイン資格情報に依存しています。 「123456」のような推測可能なパスワードを使用している場合、ハッカーは自動化されたソフトウェアを使用してサイトに侵入できます。

ブルート フォース攻撃は、あなたが思っているよりも一般的です。 実際、彼らはこれまで以上に脅威になりつつあります。 2021 年末にかけて、ブルート フォース攻撃の割合は 160% 増加しました。

ウェブサイトがブルート フォース攻撃を受けた場合、ハッカーは次のことができます。

• 個人データを盗む
• サイトにマルウェアを追加する
• 信頼性および/または検索ランキングを下げる
• コンテンツを完全に削除する

言うまでもなく、これらの危険から Web サイトを保護する必要があります。 デフォルトの WordPress 設定ではブルート フォース攻撃に対する特別な保護は提供されていませんが、攻撃を防ぐためにいくつかの手順を実行できます。

WordPress でブルート フォース攻撃をブロックする方法

ブルート フォース攻撃について理解したところで、WordPress ウェブサイトをブルート フォース攻撃から保護する方法について説明しましょう。

ステップ 1: ユーザー名を更新する

ブルート フォース攻撃にはログイン情報の推測が含まれるため、資格情報を更新することで WordPress Web サイトを保護できます。 まず、一意のユーザー名を選択することを検討する必要があります。

古いバージョンの WordPress では、デフォルトのユーザー名は「admin」でした。 現在、新しいアカウント所有者は、最初のログイン時にユーザー名を選択できます。ただし、古いアカウントをお持ちの場合は、ユーザー名を更新する必要がある場合があります。

現在のユーザー名を確認するには、WordPress ダッシュボードを開きます。 次に、 [ユーザー] → [プロファイル] に移動します。 ユーザー名は [名前]セクションの下にあります。

一意のユーザー名を既にお持ちの場合は、次の手順に進みます。 ユーザー名としてadminが表示されている場合は、おそらく変更する必要があります。 残念ながら、ダッシュボードでプロファイルを直接編集することはできません。

WordPress のユーザー名を変更する最も簡単な方法の 1 つは、新しいユーザーを作成することです。 次に、一意のユーザー名を割り当てて、同じ管理者権限を与えることができます。 この方法の唯一の欠点は、新しいメール アドレスを使用する必要があることです。

まず、 [ユーザー] → [新規追加]に移動します。 このページで、新しいユーザー名を作成し、メール アドレスを入力します。 ユーザー ロールを必ずAdministratorとして設定してください。

同じメール アドレスを使用する場合は、ユーザー名の後にプラス記号と文字を追加するだけです。 たとえば、通常のメール アドレスが「[email protected]」の場合、「[email protected]」を使用できます。 WordPress はこれを新しいメールアドレスと見なしますが、同じ受信トレイを使用します。

次に、WordPress からログアウトし、新しいユーザー名を使用して再度ログインする必要があります。次に、[すべてのユーザー] ページに移動し、管理者ユーザー ロールの下にある [削除] をクリックします。

削除プロセス中に、そのコンテンツを新しいユーザー名に移動する必要があります。 これを行うには、 [すべてのコンテンツを [新しいユーザー名] に関連付ける] を選択します。 これは重要なステップです。そうしないと、コンテンツが削除されます。

最後に、[削除の確認] をクリックします。 管理者のユーザー名に割り当てられたものと同じメール アドレスを使用したい場合は、今すぐ更新できます。

既存のユーザー名を変更したい場合は、WordPress データベースを通じてこれを行う必要があります。 データベースに変更を加えるのは危険な場合があるので、この分野の経験がある場合は変更することをお勧めします。 ユーザー名を変更するには、次の手順を実行します。

1. ホスティング プロバイダーの cpanel で phpMyAdmin ツールをクリックします。 正確な場所は、ホストによって異なる場合があります。
2. 左側のパネルで WordPress サイトのデータベースをクリックします。 これにより、データベース テーブルが開きます。
3. wp_usersテーブルをクリックします。 接頭辞「wp_」はデフォルトで設定されていますが、ホストによって別のものに変更されている可能性があります。 たとえば、テーブルは「janb_users」と呼ばれる場合があります。
4. 右側で変更するユーザー名 (この場合は「管理者」) を見つけて、[編集] をクリックします。
5. user_loginフィールドに、設定したい新しいユーザー名を入力します。
6. [移動] ボタンをクリックします。

これで、新しいユーザー名でログインできるようになりました!

ステップ 2: 強力なパスワードを使用する

ブルート フォース攻撃からサイトを保護するもう 1 つの方法は、強力なパスワードを使用することです。 ハッカーはボットネット (ロボット ネットワーク) を使用してランダムにパスワードを推測するため、一意の数字と文字の文字列を持つボットネットが役立つ場合があります。

強力なパスワードの特徴は次のとおりです。

• 10 ～ 50 文字です
• 大文字と小文字を使用しています
• 数字と特殊文字を使用しています
• 他のアカウントやウェブサイトで使用されているパスワードとは異なります

WordPress のパスワードを更新するには、[ユーザー] → [プロファイル] に移動します。 次に、[アカウント管理]まで下にスクロールします。

次に、[新しいパスワードの設定] をクリックします。 これを行うと、WordPress は強力なパスワードを自動的に生成します。 これは、推測しにくい複雑な資格情報になります。

このパスワードを使用することも、独自のパスワードを作成することもできます。 入力すると、WordPress は新しいパスワードの強度または強度を示します。

新しいパスワードが安全でランダムであることを確認するには、パスワード ジェネレーターを使用できます。 このツールは、大文字と小文字、および数字と記号を使用してパスワードを自動的に作成できます。

新しいパスワードをテキスト ボックスに貼り付けたら、ページの一番下までスクロールします。 [プロファイルの更新]をクリックして、変更を保存します。 ブルート フォース攻撃から最大限の保護を得るには、WordPress のパスワードを 4 か月ごとに変更することを検討してください。

ステップ 3: 二要素認証を追加する

パスワードだけで WordPress サイトにログインする場合、これはシングルステップ認証と呼ばれます。 2 段階認証または 2 要素認証を実装することもできます。

2 段階認証では、サイトにログインするための 2 つの形式の検証を提供します。 パスワードは引き続き入力しますが、電話または別のデバイスで身元を確認する必要もあります。

Jetpack を使用すると、Web サイトに安全な認証を簡単に追加できます。 まず、WordPress に Jetpack をインストールして有効化します。 次に、Jetpack ダッシュボードで、 [セキュリティ設定の管理] をクリックします。

ページの一番下までスクロールし、 WordPress.com のログインセクションを見つけます。 ここで、 Require accounts to use WordPress.com Two-Step Authentication をオンにします。

次に、[セキュリティ] タブで2 段階認証ページを見つけます。 アプリまたは SMS を使用した 2 要素認証の設定を選択できます。

最初のオプションを選択した場合は、Google Authenticator (iPhone | Android) などのアプリをダウンロードする必要があります。 WordPress は QR コードを提供します。これをアプリでスキャンして、生成されたコードを入力できます。

[ SMS を使用してセットアップ] をクリックすると、電話番号を入力する必要があります。 電話に送信されたコードを確認したら、2 要素認証の使用を開始できます。

WordPress にログインするたびに本人確認ができるようになりました。 この設定により、ブルート フォース攻撃に対する保護が強化されます。

ステップ 4: ブルート フォース攻撃保護プラグインをインストールする

ログインページを保護するためのいくつかの基本的な手順を実行した後、ブルートフォース保護プラグインをインストールすることもできます. 適切なツールを使用すると、ブルート フォース攻撃がサイトに影響を与える前に自動的にブロックできます。

ブルート フォース保護に最適なプラグインを選択しようとしているときは、いくつかの要素に留意する必要があります。 Web サイトを保護するには、バックグラウンドで動作してブルート フォース攻撃を防止および停止するプラグインを見つける必要があります。

ブルート フォース保護プラグインで探すべきいくつかの基本的な機能を次に示します。

• ログイン試行の制限
• 二要素認証
• ファイアウォール
• IP アドレスのブロックリスト

さらに、多くのブルート フォース保護プラグインは、Web サイトの一般的なセキュリティを提供します。 たとえば、Jetpack Security はブルート フォース攻撃を防止するだけでなく、マルウェア スキャンを実行し、自動バックアップを作成し、スパムを選別します。

Jetpack は、構成が最も簡単なブルート フォース保護プラグインの 1 つでもあります。 Jetpack をインストールしてアクティブ化したら、ダッシュボードでブルート フォース保護を有効にすることができます。

このワンクリックで、Jetpack を有効にしてブルート フォース攻撃を防ぐことができます!

ブルート フォース攻撃から保護するための 4 つの最高の WordPress プラグイン

ブルート フォース攻撃を防ぐには、プラグインをインストールするのが最も効果的です。 それでも、どのオプションが自分の Web サイトに適しているかがわからない場合があります。 多くのブルート フォース保護プラグインがありますが、4 つが最高です!

1.ジェットパック

Jetpack をダウンロードすると、ブルート フォース攻撃保護やその他の多くのセキュリティ機能にアクセスできます。 Jetpack はパフォーマンス ツールと成長ツールも提供するため、ニーズに最適なプランを選択できます。

ブルート フォース攻撃からの保護だけが必要な場合、すばらしいニュースは、それが完全に無料であることです!

Jetpack のブルート フォース攻撃保護の主な機能:

• ワンクリックアクティベーション
• 許可された IP
• ブロックされた攻撃の数を確認する機能
• 二要素認証

長所：

• Jetpack の保護手段により誤ってログイン ページからロックアウトされた場合は、特別なログイン リンクをメール アドレスに送信できます。
• Jetpack は、新しい IP アドレスを悪意のあるアドレスのグローバル データベースと比較します。
• Jetpack を使用すると、ダウンタイムの監視、サイトのバックアップ、マルウェア スキャンなどの拡張セキュリティ対策にもアクセスできます。

短所：

• Jetpack では、WordPress.com アカウントに接続する必要があります。
• サーバーの構成が間違っていると、IP アドレスが返されない場合があり、ブルート フォース保護機能が無効になる可能性があります。

使いやすさ:

Jetpack を使用すると、ブルート フォース攻撃の防止を 1 ステップで実装できます。 インストール後、メインの Jetpack ダッシュボードにアクセスして機能を有効にしてください。 その後、メンテナンスなしで Jetpack に作業を任せることができます。

価格:

WordPress ユーザーは、Jetpack を使用してブルート フォース プロテクションを無料で使い始めることができます。

2. スクリ

Sucuri は、Web サイトの監視、保護、およびパフォーマンスに特化したツールです。 Web アプリケーション ファイアウォール (WAF) を実装することで、Sucuri は Web サイトへのブルート フォース攻撃をブロックできます。

主な特長:

• ウェブ アプリケーション ファイアウォール (WAF)
• ログイン試行を制限する
• ボットをブロックする自動ツール
• ホワイトリスト登録
• 二要素認証、CAPTCHA、およびパスコード

長所：

• Sucuri にはジオブロッキングが含まれているため、特定の IP 範囲からのすべての訪問者をブロックできます。 この機能により、特定の国からのブルート フォース攻撃を防ぐことができます。
• Sucuri のファイアウォールは、トラフィックが WordPress Web サイトに到達する前にサニタイズします。

短所：

• Sucuri の無料版はブルート フォース防止を提供しません。 WAF にアクセスするには、サブスクリプションを購入する必要があります。
• Sucuri はブルート フォース攻撃を防ぐための効果的なオプションですが、高価です。 同様の機能を持つ他の無料のプラグインがあります。

使いやすさ:

他のプラグインと比較して、Sucuri のセットアップ プロセスはより複雑です。 Sucuri の使用を開始するには、プランを購入してファイアウォールを設定する必要があります。 これには、cPanel アカウントの統合と DNS レコードの手動変更が含まれます。

価格:

Sucuri では、ブルート フォース保護にはプレミアム プランが必要です。 この機能には、年間 $199.99 から始まるすべてのサブスクリプション オプションが付属しています。

3. ワードフェンスのセキュリティ

Wordfence Security は、ファイアウォールとセキュリティ スキャナーを 1 つにまとめたプラグインです。 このツールは、2 要素認証、許可リストに登録された IP アドレス、reCAPTCHA キーなど、さまざまな形式のログイン セキュリティを提供します。

主な特長:

• ログイン試行を制限する
• 成功したログイン試行と失敗したログイン試行を記録する
• 継続的に更新される IP ブロックリスト
• 手動ブロッキング ツール
• 2 要素認証と reCAPTCHA

長所：

• Wordfence には Web アプリケーション ファイアウォールが付属しているため、サイト上の悪意のあるトラフィックを識別してブロックできます。
• 管理パスワードが侵害された場合、そのユーザーからのログインをブロックできます。
• 無料版を使用している場合、Wordfence は 3 日ごとにスケジュールされたセキュリティ スキャンを実行します。

短所：

• Wordfence の無料版の場合、生成されるデータは 30 日遅れます。 リアルタイムの脅威インテリジェンスを受け取るには、有料プランにアップグレードする必要があります。
• 無料のプラグインでは、スキャンを手動でスケジュールすることもできません.

使いやすさ:

Wordfence は、初めてのユーザーに非常に簡単なセットアップ プロセスを提供します。 無料のプラグインをインストールしてアクティブ化すると、Wordfence がアラートを送信できる電子メール アドレスを入力するよう求められます。 次に、ファイアウォールとログイン セキュリティ機能を実装することで、ブルート フォース保護を追加できます。

価格:

Wordfence Security の無料版でさえ、無制限のサイトに対するブルート フォース保護が組み込まれています。 高度なサポートが必要な場合は、プレミアム プランを購入できます。 これらは年間99ドルから始まります。

4. iThemes のセキュリティ

iThemes Security を使用すると、10 分以内にブルート フォース攻撃から Web サイトを保護し始めることができます。 このプラグインを使用すると、2 要素認証とパスワード要件を使用してログイン ページをすばやくカスタマイズできます。 さらに、iThemes はあなたのサイトをブルート フォース保護ネットワークに自動的に追加します。

主な特長:

• ホストとユーザーの両方の最大ログイン試行回数
• ローカルおよびネットワークのブルート フォース保護
• 最近のブルート フォース攻撃のグラフ
• すべてのユーザーのパスワード要件を設定する機能
• 二要素認証

長所：

• iThemes Security の主な利点の 1 つは、ブルート フォース保護ネットワークです。 100 万の異なる Web サイトで疑わしいアクティビティを記録し、悪意のある IP を特定します。
• Web サイトのログイン試行の最大回数を設定できます。これにより、自動ログイン推測を防ぐことができます。

短所：

• ログイン ページに reCAPTCHA フィールドなどの追加のセキュリティ機能を追加する場合は、プレミアム プラグインを購入する必要があります。
• 無料のプラグインには、リアルタイムのセキュリティ レポートは含まれていません。

使いやすさ:

インストール後、iThemes プラグインは段階的なセットアップ プロセスを案内します。 ここでは、ローカルとネットワークの両方のブルート フォース保護を有効にできます。 セキュリティを強化するために、2 要素認証を追加することもできます。

価格:

iThemes Security は無料の WordPress プラグインです。 リアルタイム セキュリティ ダッシュボードを使用したい場合は、年間 80 ドルからのプレミアム バージョンを購入できます。

ブルート フォース攻撃をブロックするトップ プラグインの比較

よくある質問 (FAQ)

ブルート フォース攻撃とその防止方法についてすべて理解したところで、いくつかの質問に答えてみましょう。

WordPressでブルートフォース保護のコストはいくらですか?

Jetpack のようなブルー​​ト フォース保護プラグインをダウンロードすると、ブルート フォース保護が無料になります。 Sucuri などの他のプロバイダーでは、有料サブスクリプションが必要です。

WordPress でブルート フォース攻撃保護を設定するにはどうすればよいですか?

ブルート フォース保護の設定は、選択したプロバイダーによって異なります。 一部のオプションでは、ファイアウォールを構成する必要があり、これは複雑になる可能性があります。 あるいは、Jetpack はこのプロセスを簡単にするプラグインです。 アクティベーション後は、1 つの設定だけでブルート フォース プロテクションをオンにすることができます。

WordPress サイトを保護するために他に何ができますか?

Web サイトを保護するために実行できる一般的なセキュリティ対策は多数あります。 まず、コア ソフトウェア、テーマ、およびプラグインの一貫した更新を実行することを検討してください。 ウェブサイトをバックアップすることで、データを安全に保つこともできます。

もう 1 つの簡単なセキュリティ対策は、スパムのブロックです。 未使用のプラグインを削除し、サイトのアクティビティを監視することもお勧めします. 最後に、定期的にマルウェアをスキャンし、何かが見つかった場合はすぐに対処してください。

ブルート フォース攻撃から Web サイトを保護する

適切な保護がなければ、Web サイトはブルート フォース攻撃の餌食になる可能性があります。 幸いなことに、ブルート フォース保護プラグインはサイトに簡単に追加できます。 適切なセキュリティ対策を講じることで、ハッカーによるデータの盗用を阻止できます。

確認するために、WordPress でブルート フォース攻撃保護を実装する方法は次のとおりです。

1. ユーザー名を更新します。
2. 強力なパスワードを使用してください。
3. 2 要素認証を追加します。
4. Jetpack などのブルート フォース攻撃保護プラグインをインストールします。

これらの手順に従えば、情報を非公開かつ安全に保つことができます。 あとは、ソフトウェアを最新の状態に保ち、ファイルをバックアップし、スパムや疑わしいアクティビティがないか Web サイトを監視するだけです。