WordPressの不正アクセス対策プラグイン「Limit Login Attempts」のご紹介
WordPressで構築されたサイトへの不正アクセス、改ざんの被害ニュースをよく目にします。 WordPressが狙われる理由としては、CMSのプラットフォームとして人気が高く、専門知識がなくても比較的容易に利用できるため、セキュリティに甘いサイトが多く存在しているためです。 そのため、WordPressでサイトを構築する際は、セキュリティには十分注意する必要があります。
今回ご紹介するのは、WordPressのセキュリティ対策の1つとして「ブルートフォースアタック」と呼ばれる攻撃を防いでくれるプラグイン「Limit Login Attempts」です。
「ブルートフォースアタック」とは?
ブルートフォースアタックとは、暗号や暗証番号などで理論的にありうるパターン全てを入力し解読する暗号解読法。人間による操作ではとても気が遠くなるほどの時間と肉体的・精神的な負荷がかかるような回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。(Wikipediaより引用)
簡単に言えば、コンピュータ(プログラム)がパスワードが合うまで、何度も色々なパターンを試してパスワードを解析しようとする方法です。
「Limit Login Attempts」プラグインを導入すれば、WordPressのログイン認証画面で繰り返しID、パスワードを入力して不正にログインを試みようとした時に、一定回数失敗した場合は、一定時間ログイン認証自体を無効にしてパスワードを解析できないようにすることができます。
プラグインのインストールと有効化
検索窓から「Limit Login Attempts」で検索すると出てきます。 インストールしたら、有効化してください。
「Limit Login Attempts」の設定方法
左サイドメニュー「設定 > Limit Login Attempts」から、設定画面を開きます。
プラグイン「Limit Login Attempts」の設定は、デフォルトの状態でも利用することができますが、次のように細かく設定を変更することができます。
-
ログインの試行回数
ログインの試行回数 何回までログインの失敗を許可するか(例:4回) -
ログインの無効時間(分)
「①の設定値」を超えて失敗した場合に何分ログインを無効にするか(例:20分) -
ログインの無効回数と無効時間(時)※2段階設定
「①、②」の設定から何回「ログインが無効」になると、更にログインを無効にするか(例:4回ログインが無効になると24時間ログインが無効) -
ログインの試行回数リセット時間
ログインの試行回数を何時間でリセットするか(例:12時間) -
サイトへの接続方式
リバースプロキシを使用している場合に「From behind a reversy proxy」を選択します。リバースプロキシがよく分からない場合は、「Direct Connection」を選択して試してください。 -
Cookieでのログイン
Cookieの情報からログインを許可する場合に「Yes」を選択します。 よく分からない場合は、デフォルトのまま「Yes」を選択してください。 -
ログインが無効になったIPアドレス記録
ログインが無効になったIPアドレスを記録する場合にチェックを入れます。 -
管理者へのメール通知
指定の回数ログインが無効になった場合に管理者へメールで通知させる場合にチェックを入れます。(例:4回ログインが無効になると管理者へメール送信)
ログイン画面「エラー」サンプル
まとめ
今回、ご紹介したWordPressの「Limit Login Attempts」プラグインは、いかがでしたでしょうか。
その他にもWordPressのセキュリティ対策のプラグインは色々とありますが、「Limit Login Attempts」は設定する箇所も少なく、簡単に利用できます。
「ブルートフォースアタック」の対策ができていない場合は、「Limit Login Attempts」の導入を検討ください。