API保護

REST APIを完全に守る。
悪用を始まる前に止める。

7つのセキュリティ制御でWordPress REST APIを保護。レート制限・ユーザー列挙対策・エンドポイント保護で、情報漏洩とAPI不正利用を根本から遮断します。

今すぐ始める SentinelSecurityの概要
API保護 設定画面

なぜAPI保護が必要なのか?

REST APIはデフォルトで、
全ユーザー名を公開している。

WordPress REST APIは初期設定で有効になっており、認証なしで登録ユーザー名を返します。<br>この情報は、標的型ブルートフォース攻撃の手がかりとして利用される可能性があります。

デフォルト
初期設定のままでも、認証なしのリクエストでユーザー名が漏洩する
7つの制御
ユーザー列挙対策・レート制限・エンドポイントアクセス制限をカバー
OWASP
OWASP APIセキュリティTop 10(2023)に掲載されたリスクに対応

保護対象

7つの保護。すべて平易な言葉で解説。

SentinelSecurityはWordPress REST APIに対する7つの保護を3つの領域にまとめています。それぞれの機能を解説します — 技術的な知識は不要です。

01

攻撃者によるユーザー名収集を阻止する

ブルートフォース攻撃は常に「有効なユーザー名のリスト」から始まります。WordPressは3つの異なる経路から、そのリストを無料で配ってしまっています。SentinelSecurityはその3つすべてを閉じます。

  • ?authorリダイレクトをブロック

    任意のURLに ?author=1 を付けると、通常そのユーザーのログイン名が露呈します。SentinelSecurityはそのリダイレクトをブロックしてトップページを返します — 攻撃者に有用な情報は何も渡りません。

  • ユーザー一覧の閲覧にログインを必須化

    REST APIのユーザーエンドポイントはサイトの全アカウントを一覧表示します。SentinelSecurityはログイン済みユーザーにのみ公開します — 匿名訪問者には何も返りません。

  • /users/me を正規ツールのみに制限

    このエンドポイントはログイン中のアカウントのセッション詳細を露出させることがあります。SentinelSecurityは匿名呼び出しをすべてブロックしますが、ダッシュボードや信頼済みアプリは引き続き正常に利用できます。

02

サイト設定とAPIそのものを隠す

ユーザー名が漏れていなくても、サイトは静かに地図を発信し続けています:サイト設定、埋め込み内の著者情報、ホームページHTML内のAPI URLまで。SentinelSecurityはそれぞれの痕跡を除去します。

  • /settingsへの匿名アクセスをブロック

    settingsエンドポイントは利用中のプラグイン・言語・タイムゾーンを暴露することがあります。SentinelSecurityは管理者のみアクセス可能にします — サイト設定は外部から不可視のままです。

  • oEmbedレスポンスから著者情報を除去

    投稿がSNSでシェアされると、oEmbedレスポンスには通常著者名とログインスラッグが含まれます。SentinelSecurityはそのデータを除去します — 投稿は正しくプレビューされますが、著者情報は含まれません。

  • APIディスカバリリンクを削除

    WordPressは全ページのHTMLヘッドにREST APIアドレスを掲載します。SentinelSecurityはその行を削除します — アドレスを知っているツールは引き続き動作しますが、自動スキャナーは手がかりを得られません。

03

大量リクエストを、サーバーが圧倒される前に制御する

正規のエンドポイントも悪用されます。レート制限がないと、攻撃者一人で全投稿の取得、検索の連打、毎分数千回のパスワード総当たりが可能です。SentinelSecurityは標準仕様に基づくスロットリングを追加。トラフィックに合わせて自由に調整できます。

  • IP単位のレート制限と429レスポンス

    SentinelSecurityはIPアドレス単位でAPIリクエストを計測し、上限到達時に標準の429レスポンスを返します。X-RateLimit-Remainingなどのヘッダーにより、行儀よいクライアントが適切にバックオフできます。

  • 制限値の調整、または各保護の無効化

    7つの保護はそれぞれ独立したトグルと調整可能な値を持ちます。トラフィックに合わせてリクエスト数と時間枠を設定してください — どの保護も強制ではありません。

関連機能

まずはREST API診断で現在の状態を確認

API保護を設定する前に、REST API診断でサイトの現在の状態を確認。どのエンドポイントが公開されているかを把握し、適切な保護設定を適用しましょう。

REST API診断を見る

その他の機能

SentinelSecurityの他の機能も確認

SentinelSecurityは、脆弱性スキャンからファイル監視、メール通知まで、WordPressサイトのあらゆるセキュリティをカバーします。

ログインセキュリティ

WordPressログインを多層で守る。IPロックアウト・2FA・CAPTCHAで攻撃者を入口で阻止。

詳しく見る

HTTPヘッダー診断

セキュリティヘッダーの設定を診断し、不足・誤設定を修正するための具体的な提案を提供します。

詳しく見る

REST API診断

WordPress REST APIのセキュリティを18項目でチェック。攻撃者に発見される前に情報漏洩リスクを特定します。

詳しく見る

脆弱性診断

WordPressの設定・バージョン・ファイルパーミッションをセキュリティリスクの角度でチェック。 ワンクリックでリスクスコアを表示します。

詳しく見る

ファイル変更監視

WordPressの各ディレクトリにおけるファイルの追加・変更・削除を検知。不正な改ざんをすぐにアラートでお知らせします。

詳しく見る

セキュリティヘッダー設定

CSP、HSTS等のセキュリティヘッダーをGUIで簡単設定。スマートスキャンで最適設定を自動生成。

詳しく見る

メール通知設定

ログイン・ファイル変更・脆弱性検知など、7種類のセキュリティ通知を完全カスタマイズ。ホワイトラベル対応。

詳しく見る
SentinelSecurityの全機能を見る

API保護でサイトを守る

SentinelSecurityの包括的なセキュリティ機能でWordPressサイトを守りましょう。

プランを見る