おとなのらいふはっく

IT、iPhone、ビジネス、健康ネタなど、21世紀を生き抜く大人のためのライフハックブログ

入れるべき!WordPressを不正ログインから守るプラグイン「Limit Login Attempts」

WordPress

「Limit Login Attempts」は、WordPressへの不正アクセスを防ぐためのプラグイン。何度も不正ログインを試してきたユーザーを閉め出す機能を有する。WorPressユーザーなら入れておくべきプラグインだと思う。

ログイン撃退画面

IDが「admin」だとハッキングされます。

ここ数年、WordPressへの「ブルートフォースアタック」と呼ばれる不正アクセスが増えている。この不正アタックは、ユーザーIDが「admin」で行われる。WordPressサイトを作った設定のままだと、ユーザーIDが「admin」である場合が多い。これは危険だ、簡単にログインされてしまう可能性がある。まずはユーザーIDを「admin」から変更するべきだ。もちろんパスワードは複雑なパスワードにしておこう。

WordPressプラグイン「Limit Login Attempts」をインストールしよう

「admin」の変更が済んだら、WordPressプラグイン「Limit Login Attempts」をインストールしよう。このプラグインは不正アクセスしてきたユーザーを閉め出してくれる。あらかじめ設定した回数だけログインを失敗すると、そのユーザーを「ロックアウト」し、一定時間、ログインさせないようにする。ロックアウトされたユーザーが発生すると、自分にメールで知らせてくれる機能もある。便利なプラグインだ。

まずは、WordPressのプラグインインストール画面で「Limit Login Attempts」を検索し、インストールする。

「Limit Login Attempts」インストール画面

「Limit Login Attempts」の設定をする

インストールが済み、有効化したら「Limit Login Attempts」の設定をする。設定画面は、WordPressの左メニューにある「設定」の中にある。

「Limit Login Attempts」設定メニュー

メニューを選ぶと、下のような設定画面が現れる。各メニューを解説する。

「Limit Login Attempts」設定画面

Statistics(画像内番号1)

  • [ ] lockouts since last reset
    ここは過去にブロックした回数が表示されるので、最初は何も表示されてない。

  • [ ] IP is currently blocked from trying to log in
    ここも同様に過去にブロックしたIPアドレスの数。最初は何も表示されてない。

Options(画像内番号2)

  • Lockout

    • [ ] allowed retries
      リトライを許可する回数。回数が多いと何度も不正アクセスをトライされる。

    • [ ] minutes lockout
      設定したリトライ回数を超えた場合、ここで設定した時間、相手をブロックする。単位は分。

    • [ ] lockouts increase lockout time to [ ] hours
      上記のブロック回数が、ここで指定した回数になると、相手をさらに長時間ブロックをする。単位は時間

    • [ ] hours until retries are reset
      リトライ回数をリセットする時間。例えば、「[ ] allowed retries」で4回のリトライ設定し、3回ログイン失敗した場合、ここで指定した時間を待てば、0回に戻るという事だと思う。

  • Site connection(画像内番号3)
    It appears the site is reached directly
    よくわらないのでデフォルト(Direct connection)のまま。ちょっと謎。

  • Handle cookie login(画像内番号4)
    クッキーに保存してある情報からログインできるかどうか、らしい。出来ない方が良いと思うが、ハッキリ断言できない。

  • Notify on lockout(画像内番号5)
    「Log IP」はロックされたIPアドレスを記録する
    「 Email to admin after [ ] lockouts 」は指定回数ブロックしたら管理者にメールで連絡がくる。
    どちらもチェックを入れておいた方が良い。

Lockout log(画像内番号6)

  • IP、Tried to log in as
    ブロックしたログが表示される。
    上記の図では、過去に一度、adminユーザーがログインしようとしてる。もちろん自分ではない。
    その上の「1 lockout」は一度自分がログインし損なった物(笑)。

不正ログインがあったことをメールが知らせてくれた

先日、このプラグインから不正ログインをブロックしたことを知らせてくれるメールが届いた。

ブロックを知らせるメールのタイトル

メールのタイトルは「Too many failed login attempts」であった。モザイクをかけてある部分は自分のサイト名になっていた。

メールを開くとこのようなお知らせであった。

Limit Login Attemptsからのメールの内容

この時は、4回ロックアウトしたらメールをよこすように設定したあったので、「4 lockout」となっている。

モザイク部分はアクセスしてきた相手のIPアドレス。

ユーザーIDは「admin」。このIPからのアクセスを24時間ブロックするそうだ。頼もしい奴だなあ!

一緒に入れるべきプラグイン「Login Alert」

以上が「Limit Login Attempts」の設定である。不明なところがあって申し訳ない。しかし、分かるところだけを設定しておいても、充分価値のあるプラグインだと思う。

実際にメールも届いたので、安心できる。

このプラグインと一緒に「Login Alert」も入れておくとなお良い。「Login Alert」はログインがあったことを知らせてくれるプラグインである。

「Limit Login Attempts」はログインをブロックしたことを知らせてくれるので、ログインされた場合は何も知らせてくれない。

「Login Alert」を一緒に入れておけば、万が一ブロックを破られてログインされても連絡が来るので、二重で安心できる。

「Login Alert」については別記事をアップしたので、興味があれば参照して欲しい。 ↓↓↓
誰かがWordPressにログインするとメールで知らせてくれるプラグイン「Login Alert」