パスワード総当たり攻撃からサイトを守る~プラグイン「Limit Login Attempts Reloaded」設定

2019年5月8日

レンタルサーバー ログインセキュリティ対策 パスワード総当たり攻撃対策

WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにする、WordPressやテンプレート、プラグインのアップデートはまめに実施している・・としても不安は残ります。

そして、ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者として安全な運用のために、ログイン画面の対策をしっかり行う必要があります。今回は、ログイン画面のセキュリティ強化に役立つプラグイン「Limit Login Attempts Reloaded」の設定方法など解説します。

もっともシンプルな攻撃とは

パスワード総攻撃 ブルートフォースアタッログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。
でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。

このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので是非活用したいところです。

自分や自社は大丈夫!と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。

プラグインのセッティング

パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」がありますので、WordPress管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。

レンタルサーバー ログインセキュリティ対策

次に、「有効化」をクリックして利用できるようにしましょう。

レンタルサーバー ログインセキュリティ対策 プラグイン有効化

具体的な設定方法

このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。 カスタマイズしたいときは、この設定方法で変更してください。

まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。

レンタルサーバー ログインセキュリティ対策 設定へ

設定画面が表示されます。インストール時の初期画面です。

レンタルサーバー ログインセキュリティ対策 設定画面

主要な設定項目
Lockout 4 allowed retries:4回まではリトライを許可する
20 minutes lockout:20分はロックアウト
4 lockouts increase lockout time to 24 hours :4回ロックアウトで24時間ロックアウト
12 hours until retries are reset:ログイン試行回数を12時間でリセット

ここでテストです。

ロックアウトの時間を1分にして、4回ログインに失敗したらどうなるかを確認してみます。
20 minutes lockoutを1(分)に変更し、「Save Options」をクリックして設定を保存します。

レンタルサーバー ログインセキュリティ対策 設定変更

実際にログイン画面で4回失敗してみたら、次の画面が表示されました。

レンタルサーバー ログインセキュリティ対策 ログイン失敗

そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。

画面上部のログです。

レンタルサーバー ログインセキュリティ対策 ログ1

画面下部のログです。攻撃者のIPアドレスもわかります。

レンタルサーバー ログインセキュリティ対策 ログ2

メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。

Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。

レンタルサーバー ログインセキュリティ対策 メール設定

再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。

レンタルサーバー ログインセキュリティ対策 メール

このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。

あわせて読みたい

レンタルサーバー・ワードプレステーマ比較

当サイトで解説しているWordPressが使えるレンタルサーバーを比較しています。

詳しくは

レンタルサーバーおすすめ比較表・早見表(WordPress対応共用サーバー)
レンタルサーバーおすすめ比較表:WordPress・料金別・初期費用無料・高速対応

レンタルサーバー(ワードプレスに対応したLinux OSの共用サーバー)は数が多くてどこがいいのか分かりにくい!、選び方が分からない!という方のために、どの有料共用レンタルサーバーが自分や自社に適して ...

続きを見る

当サイトで解説しているWordPress有料テンプレート比較です。プラグインの機能を盛り込んでいるものも多くあります。

【比較】ワードプレステーマ・テンプレート比較一覧表(有料テーマ版)
WordPress(ワードプレス)有料おすすめテーマ・テンプレート料金機能比較一覧表

ブログやホームページを無料テーマで始めたものの機能が物足りない、表示速度が遅いなど様々な問題が出てきます。ブログやサイトをレベルアップするには、有料のテーマ・テンプレートに乗り換えることは簡単でかつス ...

続きを見る

まとめ

インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。

WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて今すぐ対応策をとっておきましょう。

記事作成者プロフィール

佃 直毅
佃 直毅
株式会社ストレン 代表取締役社長
MCP,2級知的財産管理技能士
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

当サイトはホスティング業経験から、レンタルサーバー・ドメイン・ワードプレステンプレートを比較評価し、始める・切り替える方の視点で情報をお届けします。

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て2000年 動画配信レンタルサービス「ストレン」起業、マイクロソフト認定パートナーとしてサーバー構築・運用・PR等に携わる。2015年、東証グロース上場企業・お客様と合意の上、上場企業移行後に同ビジネス終了、以降はITコンサルティングとして支援に。

【趣味】プロ野球/MLBなどスポーツ、映画・音楽好き(主に洋楽)