ブルート フォース攻撃から WordPress サイトを保護する方法
公開: 2022-11-24ハッカーは、WordPress Web サイトを制御するために無数の方法を使用します。 最も一般的なものには、バックドア攻撃、SQL インジェクション、またはブルート フォース攻撃があります。
ブルート フォース攻撃は、Web サイトをハッキングする最も一般的で簡単な方法です。 サイトがダウンするまで、このような攻撃の被害者になったことに気付かない場合があります。
ブルート フォース攻撃では、ハッカーは何千ものユーザー名とパスワードを含む単語リストを使用して、WordPress のログイン ページを試すことができます。 このリストには、daniel/11、daniel/12 などの形式で可能なすべての組み合わせが含まれています。
面倒なプロセスですが、ソフトウェアの助けを借りて、非常に簡単になります。 場合によっては、特定の、特に脆弱なアカウントをクラックするのに数秒かかることがあります。
では、ウェブサイトで何年にもわたるハードワークを一晩で失ったらどうしますか? 怖いですよね? ウェブサイトを保護するための具体的な方法がいくつかあるので、そうすべきではありません。 それらに従うことで、安全を保つ可能性が非常に高くなります。
ブルート フォース攻撃とは何か、それを防ぐ方法は?
ブルート フォース攻撃は、ハッカーが自動化されたソフトウェアを使用して Web サイトのログイン資格情報をクラックする一種のハッキング手法です。
ハッカーは複雑なアルゴリズムを使用する可能性があり、ユーザー名とパスワードの正しい組み合わせを取得すると、簡単に Web サイトに侵入できます.
このような攻撃は、さまざまな種類のサービスに対して向けられる可能性があります。 攻撃者は、ユーザーのソーシャル メディア アカウントやオンライン バンキング アカウントを狙う可能性があります。
ただし、そのような襲撃は WordPress Web サイトを標的にすることもできます。 攻撃が成功した場合、加害者は未承諾の変更を行ったり、アカウントの乗っ取りを実行したりする可能性があります。
ブルートフォース攻撃の種類
デジタル空間では、さまざまなブルート フォース攻撃が行われています。 ウェブサイトやその他のアカウントを保護するには、それぞれについて知っておく必要があります。
- 資格情報のリサイクル:
- 辞書攻撃:
- 逆ブルート フォース攻撃:
ご存じのように、一部のパスワードは安全ではないと見なされます (そうです、123456789 のような組み合わせもその中にあります)。 ただし、ハッカーが利用できるソースはこれだけではありません。 世界中で数十件のデータ侵害が発生し、膨大な数のユーザーが設定したパスワードが発生しました。
したがって、ブルートフォース攻撃の主なインスピレーションになる可能性があります。 たとえば、特定の攻撃が特にあなたの Web サイトをターゲットにしている場合、ハッカーはあなたに関連付けられている以前のパスワードを見つけようとする可能性があります。 まったく別のサービスによって漏洩したパスワードである可能性があります。 ただし、WordPress Web サイトへのハッキングに使用される可能性があります (漏洩したパスワードを使用した場合)。
これらの攻撃の主なソースは辞書です。 異なる単語を組み合わせて使うのは賢いと思ったことがあるかもしれません。 しかし、そうではありません。 ハッカーは、辞書全体を取得して、各単語 (またはそれらの組み合わせ) を実行できます。 したがって、WordPress を含むアカウントを保護するために辞書の単語を使用しないでください。
この場合、攻撃は通常ランダムです。 ハッカーは一般的なパスワードを取得し、さまざまなアカウントで実行します。 場合によっては、これらの攻撃者が運良く、それを使用してランダムなアカウントにアクセスすることがあります。
したがって、ブルート フォース攻撃は、使用されるソースの点で異なります。 以前に侵害されたパスワード、辞書、または既知の一般的なパスワードである可能性があります。
パスワードを強化する
ブルート フォース攻撃を防ぐ方法は他にもたくさんありますが、最も強力な方法はログイン パスワードです。 強力なログイン パスワードを設定してください。
ここでの強いという言葉は、David1234 や Daniel456 を意味するものではありません。 そのようなパスワードはもはや安全ではありません。 自動化されたソフトウェアの助けを借りて、これらは数秒または数分でクラックできます。 そのため、以下の条件を満たすパスワードを設定してください。
- 長さは 12 文字以上にする必要があります。
- 同じ文字または数字を 2 回使用しないでください。
- @#$%^&*<.> のような特殊記号を使用しますか? 等
- 名前、生年月日、またはその他の同様の個人情報をパスワードに使用することは、決して良い考えではありません。 ブルート フォース ハッカーは、それらを簡単に使用してアカウントをハッキングできます。 そのため、常に大文字、小文字、および特殊文字または数字の組み合わせを使用することをお勧めします。
- ログインページに設定するパスワードは、WordPress がすべてのユーザーの認証情報を保存するデータベーステーブルに存在するものとは異なる必要があります。
もちろん、これらの組み合わせをどのように覚えればよいのか、混乱するかもしれません。 幸いなことに、ツールはまさにこの目的のために設計されています。 パスワード マネージャーは、デジタル アーセナルへの優れた追加機能です。
パスワードは安全な環境に保管されます。 一番いいのは、パスワード マネージャーのロックを解除するために使用したパスワードを覚えておくだけでよいことです。 他のすべては、便利なツールによって保護されます。
関連記事: WordPress ウェブサイトを DDoS 攻撃から保護する方法
ファイアウォール
ブルート フォース攻撃によってサイトがハッキングされるのを防ぎたい場合は、ファイアウォールの使用を検討する必要があります。
攻撃者が無効な認証情報を試みていることが検出された直後に、攻撃者の IP アドレスを削除できるプラグインがいくつか利用可能です。
これ以外にも、ファイアウォールは、強力なパスワードの強制、CAPTCHA の追加、地理的ブロックの追加にも役立ちます。 ファイアウォールの助けを借りて、疑わしい IP を永久にブラックリストに登録することもできます。 プラグインをお探しの場合は、Wordfence Security プラグインをインストールして、ウェブサイトをブルート フォース攻撃から完全に保護することができます.
2 要素認証 (2FA)
ハッカーがあなたのパスワードを入手したことはある程度理解できます。 ただし、次のセキュリティ レベルはクラックするのが少し難しいです。 2 要素認証は、パスワード以上のものを含む、一種の侵入不可能なセキュリティ対策です。
今日では、パスワード (たとえ強力なものであっても) は、アカウントの最低限の保護です。 不正アクセスをさらに防止するための第 3 の要素が必要です。 この件に関しては、2 要素認証が存在します。
2FA では、ハッカーがあなたのパスワードを知っていたとしても、一般に OTP として知られる特別なログイン コードが必要になるため、ハッカーはあなたの Web サイトをハッキングできません。
ユーザーがユーザー ID とパスワードを入力すると、OTP が電話またはメールに送信され、正当なユーザーのみがアクセスできます。
したがって、2FA を使用すると、Web サイトはほとんど侵入できなくなります。
ログイン試行を制限する
ハッカーがブルート フォース攻撃を実行できる唯一の理由は、ログインの試行回数です。 ログインの試行回数を減らすと、ブルート フォース アタックの可能性が低くなります。
ただし、パスワードを忘れた場合、今後ご不便をおかけする場合があります。
関連記事: ユーザー登録とログインに最適な 18 以上の WordPress 登録プラグイン
ログインページの URL を変更する
ハッカーは、あなたが機会を提供したという理由だけで機会を受け入れます。 ほとんどの WordPress Web サイトには、/login、/wp-login.php、/admin などの同じログイン ページ URL 要素があります。これにより、ハッカーは Web ページにアクセスしてスクリプトを実行することで、Web サイトにハッキングする機会を得ることができます。 .
これを防ぐには、ログイン ページの URL を変更します。 これを行うと、ログイン ページが非表示になり、ハッカーが侵入するのが難しくなります。これを回避する方法はいくつかありますが、ほとんどのハッキングの試みから Web サイトを保護します。
データ侵害のチェック
前述のように、データ侵害は私たちが望んでいるよりも頻繁に発生しています。 したがって、使用するすべてのサービスを追跡することが不可欠です。 場合によっては、企業がデータ侵害に見舞われた場合、迅速に対応する必要があります。
最初の行動方針の 1 つは、パスワードを変更することです。 誰かがそれを使用するかどうかを知るのを待ってはいけません。
もちろん、企業は特定のセキュリティ問題 (データ侵害) があることをユーザーに知らせる必要があります。 したがって、そのようなメッセージに注意し、そのガイドラインに従ってください。
パスワードを定期的に変更する
すべてのサイバーセキュリティ専門家がこの推奨事項に同意するわけではありません。 パスワードが強力で、公開されていない場合は、パスワードを変更する理由がない可能性があります。 ただし、パスワードを頻繁に変更すると、アカウントの保護が容易になる場合があります。
たとえば、パスワードが侵害された場合、攻撃者がハッキングされたアカウント内にとどまる時間は短くなります。
ただし、パスワードを変更しても、弱いパスワードを選択するわけではないことに注意してください。 あなたの組み合わせは、それ以上ではないにしても、同じくらい強力でなければなりません. これは、パスワードの頻繁な変更について議論する際に、サイバーセキュリティの研究者が言及する欠点の 1 つです。
最後の言葉
優れた Web サイトの開発には数か月かかる場合があり、十分に注意しないと、すべてのハードワークが数分で無駄になる可能性があります。 ブルート フォース攻撃の被害者にならないようにするには、WordPress Web サイトを最新の状態に保ち、上記のすべての方法に厳密に従ってください。
さらに、ハッカーが貴重なデータを盗まないようにするために、VPN アプリをダウンロードしてください。 オンラインで行うすべての操作が暗号化されることが保証されます。 したがって、セキュリティで保護されていないネットワークに接続しても、情報は適切に暗号化されます。 また、WordPress Web サイトを管理している場合は、さまざまな同僚と一緒に仕事をすることになるでしょう。
安全なコラボレーション ツールと、情報交換のための堅牢な環境を選択してください。 このような保護があれば、ブルート フォース攻撃や接続を傍受しようとする試みは無駄になります。