ワードプレス・プラグイン情報 管理

パスワード総当たり攻撃からサイトを守る~プラグイン「Limit Login Attempts Reloaded」設定

2019年5月8日

レンタルサーバー ログインセキュリティ対策 パスワード総当たり攻撃対策

WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにする、WordPressやテンプレート、プラグインのアップデートはまめに実施している・・としても不安は残ります。

そして、ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者として安全な運用のために、ログイン画面の対策をしっかり行う必要があります。今回は、ログイン画面のセキュリティ強化に役立つプラグイン「Limit Login Attempts Reloaded」の設定方法など解説します。

もっともシンプルな攻撃とは

パスワード総攻撃 ブルートフォースアタッログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。
でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。

このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので是非活用したいところです。

自分や自社は大丈夫!と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。

プラグインのセッティング

パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」がありますので、WordPress管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。

レンタルサーバー ログインセキュリティ対策

次に、「有効化」をクリックして利用できるようにしましょう。

レンタルサーバー ログインセキュリティ対策 プラグイン有効化

具体的な設定方法

このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。 カスタマイズしたいときは、この設定方法で変更してください。

まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。

レンタルサーバー ログインセキュリティ対策 設定へ

設定画面が表示されます。インストール時の初期画面です。

レンタルサーバー ログインセキュリティ対策 設定画面

主要な設定項目
Lockout 4 allowed retries:4回まではリトライを許可する
20 minutes lockout:20分はロックアウト
4 lockouts increase lockout time to 24 hours :4回ロックアウトで24時間ロックアウト
12 hours until retries are reset:ログイン試行回数を12時間でリセット

ここでテストです。

ロックアウトの時間を1分にして、4回ログインに失敗したらどうなるかを確認してみます。
20 minutes lockoutを1(分)に変更し、「Save Options」をクリックして設定を保存します。

もっと詳しく

レンタルサーバー ログインセキュリティ対策 設定変更

実際にログイン画面で4回失敗してみたら、次の画面が表示されました。

レンタルサーバー ログインセキュリティ対策 ログイン失敗

そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。

画面上部のログです。

レンタルサーバー ログインセキュリティ対策 ログ1

画面下部のログです。攻撃者のIPアドレスもわかります。

レンタルサーバー ログインセキュリティ対策 ログ2

困ったなあ
でも忙しくて、設定画面をチェックしきれないんですけど・・
メール通知も設定できますので大丈夫ですよ
もっと詳しく

メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。

Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。

レンタルサーバー ログインセキュリティ対策 メール設定

再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。

レンタルサーバー ログインセキュリティ対策 メール

このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。

あわせて読みたい

当サイトで解説しているWordPressが使えるレンタルサーバーを比較しています。

こちらもCHECK

レンタルサーバー 比較表・早見表(全共用サーバー・価格スペック別)
レンタルサーバー 比較表・早見表(主要共用サーバー・価格スペック別)

レンタルサーバー(共用)は数が多くてどれがいいのか分かりにくい!という方に、どのレンタルサーバーが自分や自社に適しているか、価格やディスク容量などスペックの違いで比較できるページです。 各レンタルサー ...

続きを見る

まとめ

インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。

WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて今すぐ対応策をとっておきましょう。

記事作成者プロフィール

佃 直毅
佃 直毅ITサポート/コンテンツプロデュース
株式会社ストレン 代表取締役社長
MCP,2級知的財産管理技能士
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

当サイトでは、ホスティングビジネスの経験を踏まえ、ユーザー視点でレンタルサーバーやドメイン販売サービス・WordPressテンプレートの評価をし、これから始めたい・切り替えたい方の立場に立った記事・比較情報をお届けします。

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て独立後、2001年に動画配信(ストリーミングサーバー)レンタルサービス「ストレン」を立ち上げ、マイクロソフト認定パートナーとしてサーバー構築・運用からPRまで全般に携わる。2015年、東証グロース上場企業・お客様と合意のもと、上場企業サービスへ移行していただき同ビジネス終了、以降はITサポート・コンサルティングとして企業の支援に。

【趣味】プロ野球/MLBなどスポーツ、映画・音楽好き(主に洋楽)