パスワード総当たり攻撃からサイトを守る~プラグイン「Limit Login Attempts Reloaded」設定

2019年5月8日

レンタルサーバー ログインセキュリティ対策 パスワード総当たり攻撃対策

WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにする、WordPressやテンプレート、プラグインのアップデートはまめに実施している・・としても不安は残ります。

そして、ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者として安全な運用のために、ログイン画面の対策をしっかり行う必要があります。今回は、ログイン画面のセキュリティ強化に役立つプラグイン「Limit Login Attempts Reloaded」の設定方法など解説します。

もっともシンプルな攻撃とは

パスワード総攻撃 ブルートフォースアタッログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。
でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。

このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので是非活用したいところです。

自分や自社は大丈夫!と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。

プラグインのセッティング

パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」がありますので、WordPress管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。

レンタルサーバー ログインセキュリティ対策

次に、「有効化」をクリックして利用できるようにしましょう。

レンタルサーバー ログインセキュリティ対策 プラグイン有効化

具体的な設定方法

このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。 カスタマイズしたいときは、この設定方法で変更してください。

まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。

レンタルサーバー ログインセキュリティ対策 設定へ

設定画面が表示されます。インストール時の初期画面です。

レンタルサーバー ログインセキュリティ対策 設定画面

主要な設定項目
Lockout 4 allowed retries:4回まではリトライを許可する
20 minutes lockout:20分はロックアウト
4 lockouts increase lockout time to 24 hours :4回ロックアウトで24時間ロックアウト
12 hours until retries are reset:ログイン試行回数を12時間でリセット

ここでテストです。

ロックアウトの時間を1分にして、4回ログインに失敗したらどうなるかを確認してみます。
20 minutes lockoutを1(分)に変更し、「Save Options」をクリックして設定を保存します。

レンタルサーバー ログインセキュリティ対策 設定変更

実際にログイン画面で4回失敗してみたら、次の画面が表示されました。

レンタルサーバー ログインセキュリティ対策 ログイン失敗

そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。

画面上部のログです。

レンタルサーバー ログインセキュリティ対策 ログ1

画面下部のログです。攻撃者のIPアドレスもわかります。

レンタルサーバー ログインセキュリティ対策 ログ2

メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。

Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。

レンタルサーバー ログインセキュリティ対策 メール設定

再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。

レンタルサーバー ログインセキュリティ対策 メール

このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。

あわせて読みたい

レンタルサーバー・ワードプレステーマ比較

当サイトで解説しているWordPressが使えるレンタルサーバーを比較しています。

詳しくは

レンタルサーバーおすすめ比較表・早見表(WordPress対応共用サーバー)
レンタルサーバーおすすめ比較表:人気ランキング/初期無料/料金/WordPress

共用レンタルサーバーを利用したいけど有料サービスは種類が多くてどこがいいのか分からない、サーバーのレンタルサービスを絞り込めない、有名なサービスや信頼できるブランドを1ページで並び替えなどで比較したい ...

続きを見る

当サイトで解説しているWordPress有料テンプレート比較です。プラグインの機能を盛り込んでいるものも多くあります。

【比較】ワードプレステーマ・テンプレート比較一覧表(有料テーマ版)
WordPressおすすめ有料テーマ比較: 価格機能デザインで選ぶベストテンプレート

ブログやホームページ制作を無料テーマや自作テーマで始めたものの機能が物足りない、表示速度が遅いなど様々な問題が出てきます。「表示を早くする」「検索で上位になる」「スマホでキレイに見える」など、ブログや ...

続きを見る

WordPressとは何か基本を知る

WordPress(ワードプレス)は世界中で最も多く利用されている無料CMSです。WordPressとは何か?メリット・デメリット、どんな方に向いているか?など基本について解説しています。

詳しくはWordPressとは?ページへ

WordPressとは(ワードプレスとは)
ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる

ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...

続きを見る

まとめ

インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。

WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて今すぐ対応策をとっておきましょう。

記事作成者プロフィール

佃 直毅
佃 直毅
株式会社ストレン 社長

このサイトでは15年のホスティング経験から
レンタルサーバー・ドメイン・ワードプレステーマを
中立の視点から比較評価し始める・切り替える方の
立場に立った情報をお届けします。

【プロフィール】
広島市出身,早稲田大学商学部卒
SEO検定1級,情報セキュリティマネジメント
G検定,2級知的財産管理技能士
おすすめ情報サイト「マイベスト」
レンタルサーバー・ドメイン監修