WordPressはもっとも危ない!?
WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにして、WordPressはもちろんテンプレートやプラグインのアップデートはまめに実施しているとしても不安は残ります。
ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者としては安全な運用のために、ログイン画面の対策をしっかり行いましょう。
もっともシンプルな攻撃とは
ログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。
でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。
このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので、このページでは利用方法など解説します。
自分や自社は大丈夫!と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。
プラグインのセッティング
パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」があります。
WordPressの管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。
次に、「有効化」をクリックして利用できるようにしましょう。
具体的な設定方法
このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。 カスタマイズしたいときは、この設定方法で変更してください。
まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。
設定画面が表示されます。インストール時の初期画面です。
主要な設定項目:
Lockout 4 allowed retries:4回まではリトライを許可する
20 minutes lockout:20分はロックアウト
4 lockouts increase lockout time to 24 hours :4回ロックアウトで24時間ロックアウト
12 hours until retries are reset:ログイン試行回数を12時間でリセット
ここでテストです。
ロックアウトの時間を1分にして、4回ログインに失敗したらどうなるかを確認してみます。
20 minutes lockoutを1(分)に変更し、「Save Options」をクリックして設定を保存します。
実際にログイン画面で4回失敗してみたら、次の画面が表示されました。
そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。
画面上部のログです。
画面下部のログです。攻撃者のIPアドレスもわかります。
メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。
Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。
再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。
このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。
まとめ
インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。
WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて、事前の策をとっておきましょう。
