はじめに
ここでは、Cloudflareを通じてWordPressサイトのログインページへのアクセスを制御し、不正なログイン試行を防ぐ方法について解説します。WordPressは人気のあるCMSですが、そのポピュラリティゆえに攻撃対象となりやすいです。特に管理者アカウントへの不正侵入は大きな問題であり、サイトの信頼性やデータの安全性を損なう可能性があります。
症状・背景
この記事が必要になる主な場面:
- ワードプレスサイトがDDoS攻撃を受けている場合
- アクセスログから大量の不正なログイン試行を確認した場合
- サイト管理者が自分のパスワードを知っている第三者からのアクセスを防ぎたい場合
手順・設定方法
ステップ1: CloudflareアカウントへのログインとDNS設定の確認
# ログインページに移動し、ユーザー名とパスワードでログインします。
https://dash.cloudflare.com/login
# WordPressサイトのドメインがCloudflareを通じて正しく設定されていることを確認します。DNSレコードは通常、「A」レコードや「CNAME」レコードとして表示されます。ステップ2: ワークスペースとプロパティの選択
# 右上のドロップダウンメニューからワークスペースを選んでください。「自分のサイト」が既定で選択されているはずです。
# その下にある「プロパティ名」から対象のWordPressサイトを選択します。ステップ3: 「セキュリティ」タブと「WAF」ルールの設定
# 左側のメニューから「セキュリティ」を選択し、その下にある「Webアプリケーションファイアウォール(WAF)」をクリックします。
# 「ルールセット」という部分で、「WordPress Protection」を選択し、「有効」に設定して保存します。ステップ4: 「APIトークン」の作成と「メール通知」の設定
# まず、Cloudflareダッシュボードの右上にあるアカウントプロフィールアイコンをクリックし、「API Tokens」を選択します。
# 新しいAPIトークンを作成するために、「Create Token」ボタンを押します。ここでは「Account API」を選択し、「Edit permissions」と進みます。
# 「Zone」タブで「Zone: WAF and Rulesets」にチェックを入れ、その他の必要な権限も指定してから「Create token」をクリックします。ステップ5: Cloudflareアプリケーションのインストールと設定
# WordPressダッシュボード内のプラグインマネージャーで、「Cloudflare Apps」を探し、インストールします。
# 「Cloudflare Apps」というページに移動してログインし、「WordPress Protection」を有効化します。ステップ6: Cloudflareルールのカスタマイズと適用
# クラウドフレアダッシュボードで「WAF」メニューを開き、既存のルールセットを確認し、必要に応じて編集または新規作成します。
# 「Save and Deploy」ボタンをクリックして設定を保存し、新しいルールをサイトに適用します。注意事項
- CloudflareのAPIトークンは秘密にしておくこと。不正なアクセスや不審なアクティビティがあった場合はすぐにトークンを更新する。
- デフォルトのWAFルールは一般的な攻撃パターンに対応していますが、特定のサイトに合わせたカスタマイズが必要になる場合もあります。適切なテストとモニタリングを行うこと。
- WordPressログインページへのアクセス制限を設定した後も、定期的にログを確認して不審なアクティビティがないかチェックすること。
- 大規模なサイトでは、WAFルールの適用に伴うパフォーマンス影響について考慮する必要がある。適切なチューニングと監視が必要である。
まとめ
1. APIトークン: Cloudflareダッシュボードで安全にアクセスするために使用します。
2. WAFルールセット: デフォルトの設定を確認し、必要に応じてカスタマイズして適用します。
3. メール通知: 不審なアクティビティや攻撃を受けた際に自動的に通知されます。
4. ログとモニタリング: 定期的なレビューによりサイトのセキュリティを維持します。
5. パフォーマンス調整: セキュリティとパフォーマンスのバランスを取りながら、最適な設定を見つけることが重要です。
関連記事: