パスワード総当たり攻撃からサイトを守る方法

2019年5月8日 2020年1月9日

WordPressはもっとも危ない！？

WordPressは世界中で最も利用されているCMS・・ということは最も狙われているCMSとも言えますね。パスワードは複雑なものにして、WordPressはもちろんテンプレートやプラグインのアップデートはまめに実施しているとしても不安は残ります。

ログイン画面は狙いやすいターゲットとして代表的な例ですので、サイト管理者としては安全な運用のために、ログイン画面の対策をしっかり行いましょう。

レンタルサーバー　ログインセキュリティ対策パスワード総当たり攻撃対策

もっともシンプルな攻撃とは

ログイン画面に、コンピューターがランダムに文字列を作成し、ログイン試行を永遠に繰り返し続けたらいつかはログインしかねませんね。このような攻撃をパスワード総攻撃、いわゆるブルートフォースアタックといいます。

でも、何回か失敗すると数時間から数日、チャレンジさえできないとなると、「ここはだめか・・」とあきらめてしまう可能性もあります。

このパスワード総攻撃を仕掛けられた場合、ログインエラーを何回か繰り返すと一定時間ロックアウトするというプラグインがありますので、このページでは利用方法など解説します。

自分や自社は大丈夫！と思っていても、世界中からいつだれが攻撃を仕掛けてくるかわかりません。転ばぬ先の杖は大切です。

プラグインのセッティング

パスワード総攻撃対策に有効なプラグイン「Limit Login Attempts Reloaded」があります。
WordPressの管理画面にログインして、「プラグイン」から検索して「今すぐインストール」をクリックします。

レンタルサーバー　ログインセキュリティ対策

次に、「有効化」をクリックして利用できるようにしましょう。

レンタルサーバー　ログインセキュリティ対策　プラグイン有効化

具体的な設定方法

このプラグインは英語なので、設定が億劫な方もいらっしゃるかもしれませんが、インストールしたときの状態で使えますので大丈夫です。カスタマイズしたいときは、この設定方法で変更してください。

まず「設定」→「Limit Login Attempts Reloaded」を選んでクリックします。

レンタルサーバー　ログインセキュリティ対策　設定へ

設定画面が表示されます。インストール時の初期画面です。

レンタルサーバー　ログインセキュリティ対策　設定画面

主要な設定項目：
Lockout 4 allowed retries：4回まではリトライを許可する
20 minutes lockout：20分はロックアウト
4 lockouts increase lockout time to 24 hours ：4回ロックアウトで24時間ロックアウト
12 hours until retries are reset：ログイン試行回数を12時間でリセット

ここでテストです。

ロックアウトの時間を1分にして、4回ログインに失敗したらどうなるかを確認してみます。
20 minutes lockoutを1（分）に変更し、「Save Options」をクリックして設定を保存します。

レンタルサーバー　ログインセキュリティ対策　設定変更

実際にログイン画面で4回失敗してみたら、次の画面が表示されました。

レンタルサーバー　ログインセキュリティ対策　ログイン失敗

そして、1分後に無事ログインできましたので、再び設定画面にアクセスすると、ログが残っていました。

画面上部のログです。
レンタルサーバー　ログインセキュリティ対策　ログ1

画面下部のログです。攻撃者のIPアドレスもわかります。

レンタルサーバー　ログインセキュリティ対策ログ2

困ったなあ

でも忙しくて、設定画面をチェックしきれないんですけど・・

メール通知も設定できますので大丈夫ですよ

もっと詳しく

メール通知が来るようにしておけば、攻撃に気づきやすくなりますのでテストしてみます。

Email to メールアドレス after ロック回数 lockouts にチェックを入れて、送ってほしいメールアドレスを入力、ロックアウト回数を1回に変更し「Save Options」をクリックして設定を保存します。

レンタルサーバー　ログインセキュリティ対策　メール設定

再度、ログイン失敗を行い、設定したメールアドレスに送られてきました。

レンタルサーバー　ログインセキュリティ対策　メール

このほかWhitelist・Blacklistの登録もできますので、許可する・許可しないIPアドレスが事前に分かるようでしたら登録しておきましょう。

まとめ

インストールしたままの初期設定でも利用できますし、メール通知でよりセキュリティ意識を高めるにも効果の高いプラグインですので、利用してみてはいかがでしょう。

WordPressに限らず、SNSや企業・サービスサイトなど、あらゆるログイン画面・管理画面で総当たり攻撃は急増しています。まさかに備えて、事前の策をとっておきましょう。

この記事を書いた著者

佃　直毅ITサポート/コンサルティング/コンテンツプロデュース

株式会社ストレン代表取締役社長
MCP,2級知的財産管理技能士
GAIQ(Googleアナリティクス個人認定資格)

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て独立後、2001年に動画配信（ストリーミングサーバー）レンタルサービス「ストレン」を立ち上げ、マイクロソフト認定パートナーとしてサーバー構築・運用からPRまで全般に携わる。2015年、東証マザーズ上場企業・お客様と合意のもと、上場企業サービスへ移行していただき同ビジネス終了、以降はITサポート・コンサルティングとして企業の支援に。

当サイトでは、ホスティングビジネスの経験を踏まえ、ユーザー視点でレンタルサーバーやECサービスの評価をし、これから始めたい・切り替えたい方の立場に立った記事・評価・比較情報をお届けします。

【趣味】プロ野球/MLBなどスポーツ、そして映画・音楽好き（主に洋楽）。