パスワード総当たり攻撃からサイトを守る方法

WordPressはもっとも危ない！？

WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにして、WordPressはもちろんテンプレートやプラグインのアップデートはまめに実施しているとしても不安は残ります。

ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者としては安全な運用のために、ログイン画面の対策をしっかり行いましょう。

もっともシンプルな攻撃とは

ログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。

でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。

このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので、このページでは利用方法など解説します。

自分や自社は大丈夫！と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。

プラグインのセッティング

パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」があります。
WordPressの管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。

次に、「有効化」をクリックして利用できるようにしましょう。

具体的な設定方法

このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。 カスタマイズしたいときは、この設定方法で変更してください。

まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。

設定画面が表示されます。インストール時の初期画面です。

主要な設定項目：
Lockout 4 allowed retries：4回まではリトライを許可する
20 minutes lockout：20分はロックアウト
4 lockouts increase lockout time to 24 hours ：4回ロックアウトで24時間ロックアウト
12 hours until retries are reset：ログイン試行回数を12時間でリセット

ここでテストです。

ロックアウトの時間を1分にして、4回ログインに失敗したらどうなるかを確認してみます。
20 minutes lockoutを1（分）に変更し、「Save Options」をクリックして設定を保存します。

実際にログイン画面で4回失敗してみたら、次の画面が表示されました。

そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。

画面上部のログです。

画面下部のログです。攻撃者のIPアドレスもわかります。

困ったなあ

でも忙しくて、設定画面をチェックしきれないんですけど・・

メール通知も設定できますので大丈夫ですよ

もっと詳しく

メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。

Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。

再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。

このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。

まとめ

インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。

WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて、事前の策をとっておきましょう。

この記事を書いた著者

佃　直毅ITサポート/コンサルティング/コンテンツプロデュース

株式会社ストレン 代表取締役社長
MCP,2級知的財産管理技能士
GAIQ(Googleアナリティクス個人認定資格)
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て独立後、2001年に動画配信（ストリーミングサーバー）レンタルサービス「ストレン」を立ち上げ、マイクロソフト認定パートナーとしてサーバー構築・運用からPRまで全般に携わる。2015年、東証マザーズ上場企業・お客様と合意のもと、上場企業サービスへ移行していただき同ビジネス終了、以降はITサポート・コンサルティングとして企業の支援に。

当サイトでは、ホスティングビジネスの経験を踏まえ、ユーザー視点でレンタルサーバーやECサービスの評価をし、これから始めたい・切り替えたい方の立場に立った記事・評価・比較情報をお届けします。

【趣味】プロ野球/MLBなどスポーツ、そして映画・音楽好き（主に洋楽）。

ピックアップ記事

• レンタルサーバー2021.02.19コアサーバー ～月198円からWordPressが使え、超高速の新プラン（V2プラン）も開始～
• 比較2021.02.18【2021年度版】全共用レンタルサーバー　項目別比較表・早見表
• ワードプレステンプレート2021.02.12【2021年版】ビジネスで使える速い・美しいWordPressテンプレート20選＋アルファ
• SSL証明書2021.01.23SSL BOX（エスエスエルボックス）～サイトに必須のSSL証明書にセキュリティ診断機能を追加～