総当たり攻撃対策を使用して、不正なログイン試行からサイトを保護します。
有効化
この機能は、Jetpack を WordPress.com アカウントに連携すると、デフォルトで有効になります。この機能は、WordPress.com のダッシュボードにある「サイト設定」ページでいつでも無効化できます (ロックされている場合でも無効化できます)。
設定
有効にした後は、先ほどの「サイト設定」ページから IP アドレスを許可リストに追加できます。サイトへのログイン試行に何度も失敗してしまう場合や、現在の IP アドレスからの異常な動作が Jetpack で検出される場合などには、リストの許可が必要になる場合があります。
- 現在の IP アドレスもページに表示されるため、簡単に許可リストに追加できます。
- IPv4と IPv6の両方のアドレスを追加できます。
高度なヒント: また、特定の1つの IP アドレスを許可リストに登録するには、wp-config.php 内でその IP アドレスを次のように JETPACK_IP_ADDRESS_OK 定数として設定します。define('JETPACK_IP_ADDRESS_OK', 'X.X.X.X');
ダッシュボード
Jetpack ダッシュボードの「セキュリティ」セクションでは、「サイトでブロックされた悪意のある攻撃の合計数」を確認できます。
トラブルシューティングに関する情報
サイトの保護で問題が生じた場合は、以下のヒントを確認して原因を明らかにしてください。
IP がブロックされる期間はどれくらいですか ?
ブロックされる期間はさまざまな要因によって左右されるため、一定ではありません。
Jetpack からロックアウトされてしまいました。どうすればよいですか ?
Jetpack によって何らかの理由でお客様の IP アドレスにフラグが立てられると、お客様のログインがブロックされることがあります。この場合は、次のような画面が表示されます。
メールアドレスを入力し、「送信」を押します。特別なリンクを含むメールが届きます。そのリンクをクリックすると再度ログインフォームにアクセスできます。メールに記載されたリンクをクリックしたときにエラーが発生する場合は、「設定」で説明されている方法で IP アドレスを許可リストに追加すると、ブロックを解除できます。それでもブロックされる場合は、サーバーの構成に問題がある可能性があります。プロテクトを無効にするとサイトにアクセスできるようになります。さらなるトラブルシューティングが必要な場合は、お問い合わせください。
ログインページに数学キャプチャが表示されるのはなぜですか ?
数学キャプチャは、保護機能のフォールバックとして使用されます。ログイン試行に何度も失敗して IP がブロックされた場合でも、正しいログイン情報と併せて数学キャプチャを正しく入力すれば、サイトにアクセスできます。極めてまれなケースですが、API キーを取得していなかったり、盛んに攻撃を受けていたりする場合も、キャプチャが表示されることがあります。
サーバーの構成に誤りがあるため、Jetpack プロテクトがサイトを効果的に保護できない
他のユーザーがサイトにログインしようとするたびに、Jetpack のプロテクト機能はそのユーザーの IP アドレスを調べ、悪意のある IP アドレスのグローバルデータベースと比較します。
これを正しく機能させるため、Jetpack ではサーバーに保存され、提供される IP アドレスに依存しています。そのため、サーバーから IP アドレスが返されない場合は、プロテクトが正しく機能しなくなります。これが発生すると、プロテクト機能は無効になり、ユーザーに通知されます。
その場合は、このページのリンクをホスティングサービスに送信し、問題の調査と解決を依頼してください。詳しい情報が必要な場合は、こちらのお問い合わせフォームから直接お問い合わせいただくこともできます。
マルチサイトネットワークで保護する
パスワードを忘れたため、サイトに何度もログインを試みたがログインできない場合は、最終的に Jetpack のプロテクト機能によってブロックされる可能性があります。
WordPress マルチサイトのインストールでは、ネットワーク上の任意のログインページから、ネットワーク上に存在するすべてのアカウントにログインできます。 このため、Jetpack プロテクトが一部のサイトで有効になっていて、すべてのサイトでは有効になっていない場合、実際には保護されているサイトはありません。
この問題に対処するには、マルチサイトのインストールで Jetpack をネットワーク対応にし、ネットワークのプライマリサイトでプロテクト機能を有効化してください。 完了すると、Jetpack のプロテクト機能は、Jetpack がネットワーク上のすべてのサイトに接続されていなくても有効化されます。
プロテクトは何千もの悪意のあるログイン試行のブロックをレポートする
この機能についての最もわかりやすい説明方法は、インターネット上にはサイトにアクセスしようとしている何千もの「ボット」があるということです。サイトの規模に関係なく、常に何者かが「侵入」を試みています。WordPress は非常に安全ですが、通常、最も脆弱なのはユーザーのパスワードです。そのため、ボットはユーザーのパスワードを推測して侵入を試みます。
Jetpack のプロテクト機能は、何百万ものサイトから失敗した試行に関する情報を収集し、これらの攻撃から保護します。たとえば、ボットがサイト A へのアクセスを試みた後、サイト B にアクセスした場合、プロテクトはこのボットの正体をすでに把握しており、サイト B に侵入を試みる前にブロックします。
同時に、強力で安全なパスワードを設定することも非常に重要です。
ブロックされた攻撃に関する詳細はどこで確認できますか ?
例:
- 追加の保護を必要とするにはどのユーザー名ですか ?
- wp-login と XMLRPC のいずれを介したものですか ?
- これらの攻撃はどの IP アドレスから来ていますか ?
- 攻撃が発生したのはいつですか ?パターンはありますか ?
- これらは検出されたとしても、それ以外に検出されなかったものはどのくらいありますか ?
このような情報にはアクセスできません。Jetpack プロテクトは、無駄のない、シンプルな設計になっており、このような疑問や意思決定を行う必要がないような作りになっています。そのため、保存されるのはブロックした攻撃の総数のみです。
プライバシーに関する情報
この機能は、デフォルトで有効化されます。ダッシュボードで「Jetpack → ダッシュボード → 概要」に移動して、「セキュリティ」セクションの「プロテクト」設定を切り替えることで、いつでもこの機能を無効化できます。
一般的な機能とよくある質問については、Jetpack セキュリティの機能をご覧ください。
サイトのデータ使用に関する詳細情報
| 使用されるデータ | |
|---|---|
| サイト所有者/ユーザー
ログインアクティビティをチェックし、必要に応じて不正な試行をブロックするために、次の情報が使用されます。ログインを試行したユーザーの IP アドレスと (ログインプロセス中に使用しようとした値に応じて) メールアドレスまたはユーザー名、ログインを試行したユーザーに関連付けられている IP 関連のすべての HTTP ヘッダー。 アクティビティをトラッキングするために、次のデータも使用されます (詳細については、以下を参照): IP アドレス、WordPress.com ユーザー ID、WordPress.com ユーザー名、WordPress.com 連携サイトの ID と URL、Jetpack のバージョン、ユーザーエージェント、アクセス中の URL、リファラー URL、イベントのタイムスタンプ、ブラウザーの言語、国コード。 |
サイト訪問者
ログインアクティビティをチェックし、必要に応じて不正な試行をブロックするために、次の情報が使用されます。ログインを試行したユーザーの IP アドレスと (ログインプロセス中に使用しようとした値に応じて) メールアドレスまたはユーザー名、ログインを試行したユーザーに関連付けられている IP 関連のすべての HTTP ヘッダー。 |
| トラッキングされるアクティビティ | |
| サイト所有者 / ユーザー
失敗したログイン試行。 機能がいつ、どのユーザーによって有効化および無効化されたかをトラッキングします。また、Cookie ( |
サイト訪問者
失敗したログイン試行。 Cookie ( |
| 同期対象データ (詳細) | |
| サイト所有者 / ユーザー
機能が有効化されているかどうか、およびその機能の設定がどのように構成されているかを識別するオプション。また、サイトの許可リストに登録されたエントリー (サイト所有者が構成したもの)、ログインをチェックするために使用するプロテクト固有の API キー、失敗したすべてのログイン試行 (ユーザーの IP アドレス、試行されたユーザー名またはメールアドレス、ユーザーエージェント情報を含む) も同期します。 |
サイト訪問者
失敗したログイン試行 (ユーザーの IP アドレス、試行されたユーザー名またはメールアドレス、ユーザーエージェント情報を含む)。 |
Jetpack by WordPress.com 