サイドスリーブログ

WordPressの不正アクセス対策プラグイン「Limit Login Attempts」のご紹介


                WordPressの不正アクセス対策プラグイン「Limit Login Attempts」のご紹介

WordPressで構築されたサイトへの不正アクセス、改ざんの被害ニュースをよく目にします。 WordPressが狙われる理由としては、CMSのプラットフォームとして人気が高く、専門知識がなくても比較的容易に利用できるため、セキュリティに甘いサイトが多く存在しているためです。 そのため、WordPressでサイトを構築する際は、セキュリティには十分注意する必要があります。

今回ご紹介するのは、WordPressのセキュリティ対策の1つとして「ブルートフォースアタック」と呼ばれる攻撃を防いでくれるプラグイン「Limit Login Attempts」です。

「ブルートフォースアタック」とは?

ブルートフォースアタックとは、暗号や暗証番号などで理論的にありうるパターン全てを入力し解読する暗号解読法。人間による操作ではとても気が遠くなるほどの時間と肉体的・精神的な負荷がかかるような回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。(Wikipediaより引用

簡単に言えば、コンピュータ(プログラム)がパスワードが合うまで、何度も色々なパターンを試してパスワードを解析しようとする方法です。

「Limit Login Attempts」プラグインを導入すれば、WordPressのログイン認証画面で繰り返しID、パスワードを入力して不正にログインを試みようとした時に、一定回数失敗した場合は、一定時間ログイン認証自体を無効にしてパスワードを解析できないようにすることができます。

プラグインのインストールと有効化

プラグインのインストール画面から「新規追加」。
検索窓から「Limit Login Attempts」で検索すると出てきます。 インストールしたら、有効化してください。

「Limit Login Attempts」の設定方法

設定画面を開きます。
左サイドメニュー「設定 > Limit Login Attempts」から、設定画面を開きます。

プラグイン「Limit Login Attempts」の設定は、デフォルトの状態でも利用することができますが、次のように細かく設定を変更することができます。

  1. ログインの試行回数

    ログインの試行回数 何回までログインの失敗を許可するか(例:4回)
  2. ログインの無効時間(分)

    「①の設定値」を超えて失敗した場合に何分ログインを無効にするか(例:20分)
  3. ログインの無効回数と無効時間(時)※2段階設定

    「①、②」の設定から何回「ログインが無効」になると、更にログインを無効にするか(例:4回ログインが無効になると24時間ログインが無効)
  4. ログインの試行回数リセット時間

    ログインの試行回数を何時間でリセットするか(例:12時間)
  5. サイトへの接続方式

    リバースプロキシを使用している場合に「From behind a reversy proxy」を選択します。リバースプロキシがよく分からない場合は、「Direct Connection」を選択して試してください。
  6. Cookieでのログイン

    Cookieの情報からログインを許可する場合に「Yes」を選択します。 よく分からない場合は、デフォルトのまま「Yes」を選択してください。
  7. ログインが無効になったIPアドレス記録

    ログインが無効になったIPアドレスを記録する場合にチェックを入れます。
  8. 管理者へのメール通知

    指定の回数ログインが無効になった場合に管理者へメールで通知させる場合にチェックを入れます。(例:4回ログインが無効になると管理者へメール送信)

ログイン画面「エラー」サンプル

実際にログインが無効になるとエラーメッセージが表示され、一定時間ログインすることができなくなります。

まとめ

今回、ご紹介したWordPressの「Limit Login Attempts」プラグインは、いかがでしたでしょうか。
その他にもWordPressのセキュリティ対策のプラグインは色々とありますが、「Limit Login Attempts」は設定する箇所も少なく、簡単に利用できます。
「ブルートフォースアタック」の対策ができていない場合は、「Limit Login Attempts」の導入を検討ください。

その他の CMSテクニカル情報 ブログ一覧