パスワード総当たり攻撃からサイトを守る～プラグイン「Limit Login Attempts Reloaded」設定

WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにする、WordPressやテンプレート、プラグインのアップデートはまめに実施している・・としても不安は残ります。

そして、ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者として安全な運用のために、ログイン画面の対策をしっかり行う必要があります。今回は、ログイン画面のセキュリティ強化に役立つプラグイン「Limit Login Attempts Reloaded」の設定方法など解説します。

もっともシンプルな攻撃とは

ログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。
でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。

このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので是非活用したいところです。

自分や自社は大丈夫！と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。

プラグインのセッティング

パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」がありますので、WordPress管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。

次に、「有効化」をクリックして利用できるようにしましょう。

具体的な設定方法

このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。 カスタマイズしたいときは、この設定方法で変更してください。

まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。

設定画面が表示されます。インストール時の初期画面です。

実際にログイン画面で4回失敗してみたら、次の画面が表示されました。

そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。

画面上部のログです。

画面下部のログです。攻撃者のIPアドレスもわかります。

メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。

Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。

再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。

このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。

あわせて読みたい

当サイトで解説しているWordPressが使えるレンタルサーバーを比較しています。

レンタルサーバー　比較表・早見表（主要共用サーバー・価格スペック別）

レンタルサーバー（共用）は数が多くてどれがいいのか分かりにくい！という方に、どのレンタルサーバーが自分や自社に適しているか、価格やディスク容量などスペックの違いで比較できるページです。 各レンタルサー ...

続きを見る

まとめ

インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。

WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて今すぐ対応策をとっておきましょう。