Barbwire Security

WordPress の堅牢度を高めるためのプラグインです。
本プラグインの WordPress 公式ページはこちらです。

WordPressのセキュリティの現状

WordPressは非常によく使われているCMSであり、知名度もあります。
その仕組みもよく知られるようになり、同時に脆弱性もよく知られるようになってしまいました。

WordPressに脆弱性が発見されると、セキュリティメンテナンスリリースが配布され、アップデートされてきます。
これで最低限のセキュリティを確保することができます。
ですので、それらセキュリティメンテナンスリリースを全て適用することはWordPressを利用するうえで必須の作業です。

しかし、WordPress本体のアップデートだけではどうしても避けられない攻撃もあり、そういった攻撃に対処するためにこのプラグインがあります。

避けられない攻撃とは

WordPressに対して一番多いセキュリティ攻撃は、ブルートフォースアタックです。
ログイン画面に向かって全ての文字の組み合わせを順にユーザー名とパスワード欄に入れて、ログインを試みます。
この攻撃では、原理上は時間さえかければ必ずユーザー名とパスワードが漏洩してしまいます。
WordPressではこの攻撃の対象になるファイルが決まっています。
それはログイン画面とXML-RCPという機能に使われているファイルです。

このプラグインではログイン画面のURLを独自のものに変更することができ、且つ、XML-RCP機能を無効にすることで、WordPressを守ります。

プラグインの機能

上記がこのプラグインの主たる機能ですが、プラグインの全ての機能は以下のとおりです。

Google reCaptcha v3 でボット攻撃からログイン画面を保護します

Google reCaptcha を利用することで、悪意あるプログラムが不正なログインを試行することを防ぎます。

ログイン画面のURLを変更することで、ログイン画面への攻撃を防ぐことができます

ブルートフォースアタックのような、あなたのサイトをクラックするためのログインの試行を避けることができます。
Adding any parameter to login URL so that login screen will hidden.
/wp-adminなどへのアクセスもログイン画面にリダイレクトされなくなります。

作成者アーカイブを表示しないようにし、ログインIDの漏洩を防ぎます。

作成者IDがセットされたURLからログインIDがセットされたURLにリダイレクトされることで、ログインIDが漏洩する可能性があります。
サイトURLに/?author=1を付加することで、ログインIDがURLに表れるかどうかを試すことができます。
単純に作成者アーカイブページを表示しないことで、ログインIDの漏洩を防ぎます。

XML-RCP機能の一部を無効にし、この機能を利用した改竄を防ぎます。

pingbackを無効化することで、他のサイトへのDDOS攻撃の踏み台にされることを防ぎます。

REST API機能を無効にし、外部から攻撃を受けるリスクを低減します。

REST API機能を無効にして、外部からの攻撃を受けるリスクを低減します。(REST API は広く一般的に使われる機能になり、各種プラグインで実装されていることから、この機能を制限することは REST API を使っているプラグイン自体の機能を無効にすることと同義となりました。このことから、REST API を無効にする機能は削除予定です