WordPress のログイン セキュリティの電子メール通知:役に立つか、有害か?

WordPress のメール通知: WordPress サイトでは、1 分間に 90,000 件を超えるハッキングの試みが行われていることをご存知ですか?ブルート フォース攻撃は、今日のインターネットで行われるハッキングの試みのかなりの部分を占めています。 多数の WordPress プラグインが特別な焦点を当てているのは当然のことです ログイン保護 機能。 これらの機能は、ログイン試行の制限から、アイドル状態のユーザーのロックアウト、ログイン ページのスラッグの変更、特定の時間のダッシュボード アクセスの制限まで、さまざまです。ログインページのセキュリティに関して、私たちが議論したい重要な機能の 1 つは、Web サイトでログイン試行が失敗したときに生成される WordPress メールアラートに関するものです。

あなたのウェブサイトが標的にされている場合 総当たり攻撃 、あなたのメール アカウントは、毎日何百通ものメールでいっぱいになる可能性があります。 これらすべての電子メールをスキャンして追跡することは事実上不可能です。多くの登録ユーザーがいる Web サイトでは、これらの失敗したログイン試行の一部が本物のユーザーによって行われている可能性が高くなります。 ログイン試行が 1 回失敗するたびにログイン通知またはメールが生成されるとしたら、受け取る「誤検知」の数を想像してみてください!

WordPress メール通知の目的は?

多くのセキュリティ プラグインでは、WordPress の電子メール通知を送信する前にログインの試行回数を制限しています。ただし、これを考慮してください。セキュリティ プラグインの 2 つの主な目的は、ハッキングの試み (ログイン試行の制限など) を防止することと、セキュリティを向上させることです。 悪意のあるユーザーが数回失敗した後にロックアウトされた場合、その仕事は既に完了しています。 では、WordPress のメール アラートはどのような目的に役立ちますか?

あなたのサイトが下にあるとき 総当たり攻撃 また、ログインに失敗したというメールを常に受け​​取っているため、その知識でできることはほとんどありません。 これは、WordPress のメール通知の役割がほとんど価値がないことを意味します。ウェブサイトの所有者を動揺させ、パニックに陥らせるだけです。

メールを追跡することができれば、度重なる違反者を発見し、それらを IP ブロックすることに頼ることができます。 .htaccess ファイルを使用すると、これらの IP アドレスによるサイトへのアクセスを禁止できます。しかし、IP アドレスを禁止することには、それ自体が不利な点があります。それらのいくつかを見てみましょう。

1.ウェブサイトのクラッシュ

不正なトラフィックがサイトにログインしようとするのを禁止するには、.htaccess ファイルを変更する必要があります。 .htaccess ファイルは、Web サイトの最も重要な構成ファイルの 1 つです。たった 1 つのミスが壊滅的な結果をもたらす可能性があります。 WordPress ファイルマネージャーの扱いに慣れていない場合、.htaccess の編集は大変な作業になる可能性があります。もちろん、.htaccess ファイルの編集方法に関するオンライン チュートリアルを利用することもできます。リスクをある程度減らします。 それでも、大きな間違いを犯す可能性はあります。 サイトが誤動作したり、クラッシュしたりする可能性があります。回復は困難です。

2.ブロックされた検索エンジン クローラー

場合によっては、設定ミスにより、Google ボットなどの検索エンジン クローラーがサイトをクロールできなくなる可能性があります。これは、サイトがインデックスに登録されず、検索エンジンでランク付けされないことを意味します. さらに、検索エンジンのクローラーをブロックすると、SEO の大惨事を引き起こす可能性があります。

3.訪問者は禁止されました

有効なサイト ユーザーを誤って禁止するリスクは常に存在します。 IPアドレスが正しくない場合のエラーが原因で発生する可能性があります。 Web サイトの所有者が、誤って有効なユーザーを禁止したことを告白したフォーラムに遭遇しました。場合によっては、管理者が誤って自分自身を禁止してしまうこともありました。 小さな国では、ほんの一握りの IP アドレスしか持っていないことがあります。 それらをブロックするということは、無意識のうちに多くの訪問者をブロックしていることを意味し、これはビジネスにとって本質的に悪いことです。

4.見込み客の喪失

ブルート フォース攻撃を防ぐ最も効果的な方法の 1 つは、攻撃元の国を特定することです。特定の国から多数のログイン試行の失敗が発生している場合は、単純に国全体を禁止できます。その特定の国からは誰もあなたのウェブサイトにアクセスできません。

オンライン プレゼンスの主な目的は、世界中の多数の視聴者にリーチすることです。 したがって、地理的な場所に関係なく、WordPress サイトのコンテンツは多くの人にとって価値があります。 これは、国全体をブロックすることで、あなたの作品に関心のある聴衆全体を無視することになる可能性があることを意味します.

6.サイトにアクセスすることはまだ可能です

ハッカーは、ネットワーク IP アドレスにアクセスできます。捕まってブラックリストに登録される可能性があるため、1 つの IP に固執することはめったにありません。また、ハッカーが 1 つのサイトを標的にすることはめったにありません。彼らは、構築した IP アドレスのクラスターを使用して、多数のサイトに同時に攻撃を仕掛けます。 IP アドレスの 1 つに悪意があると認識されると、別の IP アドレスの使用に移行します。いたちごっこの終わりのないゲームです。 したがって、IP アドレスをブロックすることは、一時的な緩和にすぎない場合があります。 IP アドレスの禁止にはある程度のリスクが伴うため、多くのユーザーは回避する傾向があります。

これは、WordPress の通知が提供する目的について、以前に尋ねた質問に戻ります。絶え間ない電子メール通知は煩わしく、大きな災害につながる可能性があります.

結論

オオカミと泣いた少年を思い出してください。毎日何百もの WordPress メールアラートがメールアカウントに表示されるため、すぐにそれを無視し始めるでしょう.注意が必要な状況を無視してしまう可能性があるため、これは危険です。 WordPress に対する攻撃の数が年々増加していることを考えると、WordPress の電子メール通知を整理するのではなく、適切なセキュリティ サービスを導入することに時間を費やすことが非常に重要です ログイン保護。