不正なログイン試行からアカウントまたはサイトを保護するには、アカウントに強力なパスワードを設定し、二段階認証を有効化します。また、総当たり攻撃からサイトを保護することもできます。このガイドでは、総当たり攻撃からの保護について説明します。
総当たり攻撃は、ハッカーが WordPress サイトのコードの脆弱性を不正利用するために用いる方法です。ハッカーはボットネットと呼ばれるコンピューターの大規模ネットワークを使用し、正しいものが見つかるまでユーザー名とパスワードの数千もの組み合わせを試して、サイトにアクセスします。
WordPress サイトにログインするには、主に次の2つの方法があります。
- wp-login は、
/wp-login.phpにある WordPress ログインページです。WordPress.com では、WordPress.com のログイン情報を使用してそこからから安全にログインできます。 - XMLRPC は、外部アプリケーションが WordPress の認証と操作に使用する方法です。
どちらの方法も、サイトへのアクセスを試みるボット攻撃に対して脆弱であるため、当社の Jetpack プラグインは両方の方法を WordPress.com への総当たり攻撃から保護します。サイトが開設されてから閉鎖されるまで、Jetpack は WordPress サイトへの総当たり攻撃を平均5,000件以上ブロックします。
サイトの規模に関係なく、常に何者かが「侵入」を試みています。総当たり攻撃が成功すると、サイトの応答が遅くなったり停止したりし、ハッカーがサイトのコンテンツやデータに不正にアクセスする可能性があります。
WordPress.com の総当たり攻撃対策は、従来型および分散型の総当たりログイン攻撃による不正なログイン試行をブロックし、サイトを作成した瞬間から安全に保ちます。
総当たり攻撃対策でできること
- 疑わしい IP アドレスがサイトに到達する前に自動的にブロックする
- 信頼できる IP をホワイトリストに登録して誤検知を防ぐ
- 必要に応じて機能を有効または無効にする
Jetpack は何百万ものサイトのデータを使用して脅威を検出し、阻止します。たとえば、ボットがあるサイトへのログインに失敗した場合、アクセスを試みる前に他のサイトからブロックします。
本ガイドのこのセクションは、WordPress.com ビジネスプランおよびコマースプランと従来の Pro プランをご利用のサイトを対象としています。ビジネスプランをご利用の場合は、必ず有効化してください。無料プラン、パーソナルプラン、プレミアムプランのサイトでこの機能を利用するには、プランをアップグレードしてください。
WordPress.com でホストされているサイトでは、Jetpack プラグインを無効化できません。無効化すると、サイトへのアクセスが中断され、提供されている基本的な機能が削除されるためです。Jetpack は自動で管理されるため、サイトのセキュリティとパフォーマンスを最良の状態に維持できます。
ただし、競合を引き起こしていると思われる場合は、Jetpack の特定の機能を無効化できます。WordPress.com サイトを作成すると、総当たり攻撃からの保護がデフォルトで有効になります。
機能を停止および再有効化するには、次の手順を実行します。
- サイトのダッシュボードにアクセスします。
- 「Jetpack」→「設定」に移動します。
- 「セキュリティ」タブをクリックします。
- 「総当たり攻撃対策機能」セクションまで下にスクロールし、機能のオンとオフを切り替えます。
許可した IP アドレスをリストにして、ブロックされないようにできます。これは、ログインに何度か失敗してしまった場合や、現在お使いの IP からの通常とは異なるアクティビティに Jetpack がフラグを付けてしまった場合に便利です。
サイトの許可リストに IP アドレスを追加するには:
- サイトのダッシュボードにアクセスします。
- 「Jetpack」→「設定」に移動します。
- 「セキュリティ」タブをクリックします。
- 「常時許可された IP アドレス」セクションまで下にスクロールします。
- 設定をオンに切り替えます。
- ホワイトリストに登録する IP アドレスをカンマで区切って追加します。IPv4 と IPv6 の両方のアドレスを使用できます。範囲を指定するには、下限値と上限値をダッシュで区切って入力します。例:
12.12.12.1-12.12.12.100 - (任意)「許可リストに追加」ボタンをクリックすると、現在の IP アドレスをホワイトリストに追加できて便利です。
日本語サポート 
コメントを投稿するにはログインしてください。