現在、WordPressとJoomlaのサイトを標的とした大規模なブルートフォース攻撃が行われていることが、いくつかの主要な情報源によって確認されています。HostGator、InMotion Hosting、LiquidWeb、その他多くの企業が顧客にこの問題について通知しています。ハッカーのボットネットは90,000以上の異なるIPアドレスを含んでおり、非常に一般的な間違いを犯しているWordPress初心者たちを狙っています。はい、これらすべては恐ろしいように聞こえるかもしれませんが、ハッキングされる可能性を減らすためにあなたがする必要があることは次のとおりです。
1. 管理者ユーザー名の使用を停止する
初心者は、admin、administrator、test、rootなど、非常に一般的なユーザー名を使用することがよくあります。私たちの友人であるSucuriは、これらのユーザー名が現在激しく標的にされていると報告しています。adminのような一般的なWordPressのユーザー名を使用している場合は、今すぐ変更する必要があります。
WordPressでユーザー名を変更する方法を説明する、わかりやすいチュートリアルがあります。
2. 強力なパスワードを使用する
どうか、どうか、どうか、非常に強力なパスワードを使用してください。これらのブルートフォース攻撃は、人々が使用する最も一般的なパスワードすべてを標的とします。強力なパスワードには、大文字と小文字の英字、数字、記号が含まれます。複数の場所で同じパスワードを使用しないでください。1PasswordやLastPassのようなパスワード管理ソリューションの使用を開始するのに遅すぎるということはありません。
3. 適切なバックアップを維持する
ウェブサイトの最高のセキュリティは、優れたバックアップソリューションです。私たちはVaultPressを使用しており、これは月額サービスです。ただし、毎月支払いたくない場合は、BackupBuddyを取得することを強くお勧めします。
ほとんどのホスティング会社はバックアップを取らないので、サイトの良いバックアップを維持してください。
4. 二要素認証を使用する
二要素認証を使い始めましょう。これにより、パスワードが推測されたとしても、セキュリティコードがないためサイトにアクセスできなくなります。今すぐ実行することを強くお勧めします。
5. WP-Adminをパスワードで保護し、ログイン試行を制限する
私たちは常にユーザーにログイン試行回数を制限することを推奨しています。しかし、このボットネットには90,000のIPが含まれているため、これだけではすべての攻撃から保護することはできません。もう1つの対策として、WP-adminディレクトリをパスワードで保護することができます。また、wp-login.phpファイルを特定のIPに制限することもできます。
6. Sucuri の使用を開始する
Sucuriを使用していない場合は、Sucuriの使用を強くお勧めします。彼らは常に物事のトップにあり、WordPressのセキュリティに関しては、私たちがより信頼できる人はいません。Sucuriを使用する5つの理由をご覧ください。
これらの攻撃の最終的な目的が何であるかは定かではありませんが、どのような目的であれ、ユーザーがこれに陥るのを見るのは避けたいです。サイトを最新の状態に保ち、上記のすべてのヒントに従ってください。
イジー・ヴァネック
個人的には、別のヒントをお勧めします。私はGEO-IPプラグインを使用して管理エリアを保護しています。このプラグインは、一部のウェブサイトでは特定の国からのアクセスのみに制限され、他のウェブサイトでは特定のIPアドレスに限定されます。管理アクセスが特定のIPアドレスに制限されている場合、攻撃者は比較的お手上げ状態になるため、これは非常に優れた保護を提供します。
プラグインを使用したくない人のために、.htaccessファイルを使用して特定のIPアドレスからの管理アクセスを制限できます。これは非常にシンプルですが、非常に効果的なソリューションです。
ジャネット
私はクライアントのサイトのセキュリティ保護に取り組んでおり、wp-admin フォルダをパスワードで保護する必要があります。問題が発生しており、誰か助けてくれることを願っています。cPanel でそのフォルダを pw-protect しようとすると、Frontpage Extensions がインストールされているというエラーが表示され、pw-protect が妨げられます。拡張機能をアンインストールしようとすると、このメッセージが表示されます。
Warning: FrontPage拡張機能をインストールまたはアンインストールすると、すべての“.htaccess”ファイルが失われます。“.htaccess”ファイルに行った変更はすべて失われます。
このページで指示されているように.htacessバックアップを作成した場合、それは十分でしょうか?
ご協力と、非常に役立つすべての情報に感謝します!
編集スタッフ
バックアップがあれば、問題なく進めるはずです。
管理者
ジャネット
ありがとうございます!.htacessで問題が発生しましたが、ウェブホストがすべてを解決してくれました。大変助かりました!
Sarah B R
こんにちは。
2段階認証のガイドラインに従ったところ、数日前の初回は正常に機能しました。
今日ログインしようとして、スマートフォンのアプリにアクセスしたのですが、追加したWordPressアカウントが見当たりません。そのため、現在ログインできません。
ご協力ありがとうございます。
編集スタッフ
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
管理者
エドウィン・リンチ
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
ログインロックダウンは、ブルートフォース攻撃からWordPressのブログを保護するための最高のプラグインです
ロバート・コナー
私のサイト管理パネルは毎日ログイン試行で攻撃されているので、良いアドバイスです!
Jane
ブルートフォース攻撃を受けたかどうかはどうすればわかりますか?私のクライアントは最近WPサイトで問題を抱えているので、これが原因かどうか疑問に思っています。
Jennifer
現在、ブルートフォース攻撃を受けているサイトがあります。それは執拗です。そのサイトはSUCURI(ありがたいことに!)を使用しており、彼らはすでに一度私たちをクリーンアップしてくれました。
素晴らしい情報をありがとうございます、Syed&チーム。二要素認証を追加しました。残りの提案もできるだけ早く実施します。
エスター
無料ビデオへのリンクをありがとうございます。昨日WPサイトを始めたばかりで、Bloggerサイトを運営していたのですが、うまくいきません!私はかなり技術に詳しいのですが、何が問題なのか全くわかりません。とにかく問題があるということです!笑
キース・デイビス
皆さん、こんにちは。
Sucuriのウェブサイトの記事を読んでみてください。私は彼らと一緒に仕事をしており、他にもいくつかのセキュリティ対策を使用しています。
#WordPressであなたに言及しました
スコット・ハック
3.6のコアにログイン制限を追加してほしいです