API保護
7つのセキュリティ機能でREST APIを保護。 ユーザー列挙攻撃、DDoS攻撃、情報漏洩を防止 包括的なセキュリティ対策で。
APIエンドポイントは攻撃者の主要ターゲット
WordPress REST APIとユーザー情報エンドポイントは、ブルートフォース攻撃や情報収集の入口として悪用されます。適切な保護が不可欠です。
機能
防止
適用済み
ユーザー列挙攻撃を完全にブロック
?author=1 攻撃
URLに?author=1を追加するだけでユーザー名が発見可能。これがブルートフォース攻撃の起点になります。
REST API /users
REST APIでユーザー一覧が取得可能。多くの場合、認証なしでアクセスできます。
oEmbed情報
oEmbedレスポンスにも著者情報が含まれ、埋め込み時に利用されます。
3種類のユーザー列挙攻撃をワンクリックですべてブロック。
APIを守る7つの保護機能
レート制限と6つの情報漏洩防止機能による多層防御。
ユーザー名と設定情報の露出を防止(6機能)
?author=1 ブロック
URLパラメータによるユーザー名の発見を防止。/?author=1へのアクセスをブロックしてブルートフォース攻撃の偵察段階を阻止。
REST API /users ブロック
/wp-json/wp/v2/usersエンドポイントへの非認証アクセスをブロック。ログインユーザーは引き続きアクセス可能。
/users/me ブロック
ログインユーザー情報の露出を防止。/wp/v2/users/meエンドポイントを保護。
oEmbed著者情報の削除
oEmbedレスポンスから著者情報を削除。ソーシャル共有を通じた情報漏洩を防止。
/settings ブロック
/wp/v2/settingsエンドポイントへのアクセスをブロック。サイト設定情報の露出を防止。
APIディスカバリーリンクの削除
HTMLヘッダーからREST APIリンクを削除。APIの存在自体を隠蔽。
過剰なリクエストを自動ブロック(1機能)
レート制限を有効化
REST APIレスポンスにX-RateLimit-*ヘッダーを追加。リクエスト数を制限。
リクエスト制限
時間枠内(デフォルト60秒)で許可されるリクエスト数を制限。超過時は429エラーを返します。
DDoS対策
大量APIリクエストによるサーバー過負荷から保護。安定したサイト運用を維持。
サイトに合わせた詳細設定
レート制限の調整
リクエスト制限(デフォルト100)と時間間隔(デフォルト60秒)を自由に設定。
個別ON/OFF
7つの保護機能を個別にON/OFF。サイトのニーズに合わせた柔軟な設定。