WordPressで構築されたサイトへの不正アクセス、改ざんの被害ニュースをよく目にします。 WordPressが狙われる理由としては、CMSのプラットフォームとして人気が高く、専門知識がなくても比較的容易に利用できるため、セキュリティに甘いサイトが多く存在しているためです。 そのため、WordPressでサイトを構築する際は、セキュリティには十分注意する必要があります。

今回ご紹介するのは、WordPressのセキュリティ対策の1つとして「ブルートフォースアタック」と呼ばれる攻撃を防いでくれるプラグイン「Limit Login Attempts」です。

「ブルートフォースアタック」とは？

ブルートフォースアタックとは、暗号や暗証番号などで理論的にありうるパターン全てを入力し解読する暗号解読法。人間による操作ではとても気が遠くなるほどの時間と肉体的・精神的な負荷がかかるような回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。（Wikipediaより引用）

簡単に言えば、コンピュータ（プログラム）がパスワードが合うまで、何度も色々なパターンを試してパスワードを解析しようとする方法です。

「Limit Login Attempts」プラグインを導入すれば、WordPressのログイン認証画面で繰り返しID、パスワードを入力して不正にログインを試みようとした時に、一定回数失敗した場合は、一定時間ログイン認証自体を無効にしてパスワードを解析できないようにすることができます。

プラグイン「Limit Login Attempts」の設定は、デフォルトの状態でも利用することができますが、次のように細かく設定を変更することができます。

1. ログインの試行回数

   ログインの試行回数 何回までログインの失敗を許可するか（例：4回）

2. ログインの無効時間（分）

   「①の設定値」を超えて失敗した場合に何分ログインを無効にするか（例：20分）

3. ログインの無効回数と無効時間（時）※2段階設定

   「①、②」の設定から何回「ログインが無効」になると、更にログインを無効にするか（例：4回ログインが無効になると24時間ログインが無効）

4. ログインの試行回数リセット時間

   ログインの試行回数を何時間でリセットするか（例：12時間）

5. サイトへの接続方式

   リバースプロキシを使用している場合に「From behind a reversy proxy」を選択します。リバースプロキシがよく分からない場合は、「Direct Connection」を選択して試してください。

6. Cookieでのログイン

   Cookieの情報からログインを許可する場合に「Yes」を選択します。 よく分からない場合は、デフォルトのまま「Yes」を選択してください。

7. ログインが無効になったIPアドレス記録

   ログインが無効になったIPアドレスを記録する場合にチェックを入れます。

8. 管理者へのメール通知

   指定の回数ログインが無効になった場合に管理者へメールで通知させる場合にチェックを入れます。（例：4回ログインが無効になると管理者へメール送信）

今回、ご紹介したWordPressの「Limit Login Attempts」プラグインは、いかがでしたでしょうか。
その他にもWordPressのセキュリティ対策のプラグインは色々とありますが、「Limit Login Attempts」は設定する箇所も少なく、簡単に利用できます。
「ブルートフォースアタック」の対策ができていない場合は、「Limit Login Attempts」の導入を検討ください。