Jetpack のセキュリティ機能には、次のようなものがあります。
- ダウンタイムのモター
- プラグン更新
- プロテクト
- セキュリティスキャン (有料)
- バックアップ (有料)
- スパム対策 (有料)
プロテクト
このモジュールを有効化するには、サイトの wp-admin ダッシュボードで「Jetpack」→「設定」→「セキュリティ」に移動して、「疑わしいアクティビティの兆候をブロックする (Block suspicious-looking sign in activity)」をオンにします。
Jetpack プロテクトによって、従来型の総当たり攻撃や、多数のサーバーを使用する分散型の総当たり攻撃からサイトを保護できます。
Jetpack のボットネットセキュリティ機能は、Jetpack をインストールして WordPress.com アカウントに関連付けると、自動的に有効になります。Jetpack プロテクトによってボットネット保護が講じられていれば、サイトへの迷惑なログイン試行がブロックされます。
インストール型のサイトでは、ダッシュボードのウィジェットでサイトに対する攻撃件数を確認できます。
この新しいインターフェースが Jetpack サイトにどのように役立つか詳しく見ていきましょう。
設定
サイトへのログイン試行が何度も失敗した場合は、IP アドレスをホワイトリストに登録する必要があります。IP アドレスをホワイトリストに登録するには、3つの方法があります。
- サイトにアクセスできて、ブロックされていなければ、「Jetpack」→「設定」→「セキュリティ」→「総当たり攻撃からの保護」に移動して IP アドレスまたは IPv6アドレスを入力できます。
- ブロックされてサイトに入れないのであれば、「参加サイト」→「設定」→「セキュリティ」→「総当たりログイン攻撃を防止」に移動し、WordPress.com を介して IP アドレスまたは Ipv6アドレスを入力できます。
- また、特定の1つの IP アドレスをホワイトリストに登録するには、wp-config.php 内でその IP アドレスを次のように
JETPACK_IP_ADDRESS_OK定数として設定します。define('JETPACK_IP_ADDRESS_OK', 'X.X.X.X');
IP を確認するには、次のいずれかのサイトにアクセスしてください。
プライバシーに関する情報 (プロテクト)
この機能は、デフォルトで有効化されます。ダッシュボードで「Jetpack」—「ダッシュボード」—「概要」に移動して、「セキュリティ」セクションの「プロテクト」設定を切り替えることで、いつでもこの機能を無効化できます。
| 使用されるデータ | |
|---|---|
| サイト所有者/ユーザー
ログインアクティビティをチェックし、必要に応じて不正な試行をブロックするために、次の情報が使用されます。ログインを試行したユーザーの IP アドレスと (ログインプロセス中に使用しようとした値に応じて) メールアドレスまたはユーザー名、ログインを試行したユーザーに関連付けられている IP 関連のすべての HTTP ヘッダー。アクティビティをトラッキングするために、さらに次の情報も使用されます (詳細については、以下を参照)。IP アドレス、WordPress.com ユーザー ID、WordPress.com ユーザー名、WordPress.com 連携サイトの ID と URL、Jetpack のバージョン、ユーザーエージェント、訪問中の URL、リファラー URL、イベントのタイムスタンプ、ブラウザーの言語、国コード。 |
サイト訪問者
ログインアクティビティをチェックし、必要に応じて不正な試行をブロックするために、次の情報が使用されます。ログインを試行したユーザーの IP アドレスと (ログインプロセス中に使用しようとした値に応じて) メールアドレスまたはユーザー名、ログインを試行したユーザーに関連付けられている IP 関連のすべての HTTP ヘッダー。 |
| トラッキングされるアクティビティ | |
| サイト所有者/ユーザー
失敗したログイン試行。機能がいつ、どのユーザーによって有効化および無効化されたかをトラッキングします。また、Cookie ( |
サイト訪問者
失敗したログイン試行。Cookie ( |
| 同期されるデータ (続きを読む) | |
| サイト所有者/ユーザー
機能が有効化されているかどうか、およびその機能の設定がどのように構成されているかを識別するオプション。また、サイトのホワイトリストに登録されたエントリー (サイト所有者が構成したもの)、ログインをチェックするために使用するプロテクト固有の API キー、失敗したすべてのログイン試行 (ユーザーの IP アドレス、試行されたユーザー名またはメールアドレス、ユーザーエージェント情報を含む) も同期します。 |
サイト訪問者
失敗したログイン試行 (ユーザーの IP アドレス、試行されたユーザー名またはメールアドレス、ユーザーエージェント情報を含む)。 |
トラブルシューティングに関する情報とよくある質問
サイトを保護するには、他にどのような措置が必要ですか ?
バックアップ
インストール型のサイトは、VaultPress などのツールを使用してバックアップすることを強くお勧めします。不正なファイルによってサイトが破損した場合や、他の原因でサイトのセキュリティが侵害された場合は、バックアップが復元メカニズムとなります。
更新
Jetpack のプラグイン更新機能により、プラグインを簡単に最新の状態に維持できます。プラグインを自動更新するように設定すると、不正なコードによってプラグインで問題が発生しても、サイトに害が及ぶことはありません。
プラグインとテーマを更新された状態に維持することは、インストール型 WordPress サイトのセキュリティを確保する上で最も効果的な方法のうちの1つです。Jetpack のサイト管理ツールを使用すれば、WordPress.com の使いやすいコントロールパネル1か所から、すべてのプラグインを最新の状態に維持できます。Jetpack のプラグイン更新に関する詳細
モニター
Jetpack のサイトモニター機能はサイトを監視し、サイトがダウンした場合はすぐにアラートを送ります。サイトのアップタイムのモニターは、サイトのセキュリティを確保する上で重要なツールになります。Jetpack のモニターに関する詳細
ログインページに数学キャプチャが表示されるのはなぜですか ?
数学キャプチャは、保護機能のフォールバックとして使用されます。ログイン試行に何度も失敗して IP がブロックされた場合でも、正しいログイン情報と併せて数学キャプチャを正しく入力すれば、サイトにアクセスできます。極めてまれなケースですが、API キーを取得していなかったり、盛んに攻撃を受けていたりする場合も、キャプチャが表示されることがあります。
IP がブロックされる期間はどれくらいですか ?
ブロックされる期間はさまざまな要因によって左右されるため、一定ではありません。
