こんにちは、mickです。
WordPressのセキュリティを高くしたい。
セキュリティ対策はしたいがWebサイトは遅くしたくない
こんな要望に応えます。
WordPressのログインの試行回数を制限する
WordPressのWebサイトの乗っ取りを防ぐ方法のひとつがこれです。
ログインの試行回数を制限する
Webサイトを乗っ取るひとつが、ログインのIDとパスワードを何度も試す方法があります。
専門用語では「総当たり攻撃(ブルートフォースアタック)」といいます。
具体的な対策:Limit Login Attempts Reloaded を使う
WordPressのプラグイン「Limit Login Attempts Reloaded」を使えばログインに何度も失敗したとき、ログイン画面を使えなくできます。
プラグインは、2020年12月時点では日本語化されていて設定も1ページだけ。
簡単に使うことができます。
Limit Login Attempts Reloadedの使い方
Limit Login Attempts Reloaded の使い方は簡単。
プラグインをインストールして有効化すればすぐに機能します。
初期設定は次の通り。
- 4回までリトライを許可する
- 20分間ロックする
- 4回ロックされると24時間ロックする
- 12時間でリトライ数をリセットする
プラグインのインストールと有効化する
有効化するとすぐに機能がONになる
Limit Login Attempts Reloaded は有効化するとすぐに機能がONになります。
機能をOFFにしたいなら無効化するかアンインストール
Limit Login Attempts Reloaded の機能をOFFにしたいときは、プラグインを無効化するか、アンインストールするしかないです。
Limit Login Attempts Reloadedの設定
Limit Login Attempts Reloaded の設定は次の場所から。
「WordPressメニュー」>「設定」>「Limit Login Attempts Reloaded」
設定が終わったら画面下にある「変更を保存」をクリックして設定を反映します。
GDPR 準拠
「GDPR 準拠」は、ヨーロッパの法律に従う設定にするかどうかの機能です。
Webサイトがヨーロッパ向けである場合は「必ずON」
ロック通知
「ロック通知」は、何回ロックアウトしたら指定のメールアドレスに通知するかの設定です。
Active App
「Active App」は、無料版では「Local」のみです。
App Settings
「App Settings」で細かい設定をします。
- 許可するリトライ回数
- ロックする時間
- 長時間ロックの設定
- リトライ数のリセットのタイミング
「信頼できる IP Origin」に関しては、設定が難しいので「デフォルトのまま」がオススメです。
何回ロックされたかは「Logs」で確認する
「Logs」タブの「統計」を確認すれば「総ロック数」が確認できます。
まとめ。
WordPressのセキュリティを高める方法としてセキュリティ「Limit Login Attempts Reloaded」を使うことを紹介しました。
これを使えば、ログインの試行回数を簡単に制御できます。
ログイン画面のロックがかかった回数はログに残ります。
本当に攻撃をつけているかも確認できて対策の有効性が確認できて安心。
記事を読んでくれて嬉しいです。
今日もありがとうございました。
初稿 2020/12/30
