WordPressのセキュリティを高める方法【ログイン試行回数を制限する】

WordPressのセキュリティを高める方法【ログイン試行回数を制限する】 WordPress

こんにちは、mickです。

WordPressのセキュリティを高くしたい。
セキュリティ対策はしたいがWebサイトは遅くしたくない

こんな要望に応えます。

WordPressのログインの試行回数を制限する

WordPressのWebサイトの乗っ取りを防ぐ方法のひとつがこれです。

ログインの試行回数を制限する

Webサイトを乗っ取るひとつが、ログインのIDとパスワードを何度も試す方法があります。
専門用語では「総当たり攻撃(ブルートフォースアタック)」といいます。

具体的な対策:Limit Login Attempts Reloaded を使う

WordPressのプラグイン「Limit Login Attempts Reloaded」を使えばログインに何度も失敗したとき、ログイン画面を使えなくできます。

プラグインは、2020年12月時点では日本語化されていて設定も1ページだけ。
簡単に使うことができます。

Limit Login Attempts Reloadedの使い方

Limit Login Attempts Reloaded
WordPress の開発者チームによる、元祖 Limit Login Attempts plugin for Login Protection (ログイン保護のためのログイン試行制限) プラグインのリニューアル版。GDPR 準拠。

Limit Login Attempts Reloaded の使い方は簡単。
プラグインをインストールして有効化すればすぐに機能します。

初期設定は次の通り。

  • 4回までリトライを許可する
  • 20分間ロックする  
  • 4回ロックされると24時間ロックする
  • 12時間でリトライ数をリセットする

プラグインのインストールと有効化する

Limit Login Attempts Reloaded のインストール
Limit Login Attempts Reloaded の有効化
Limit Login Attempts Reloaded の有効化
有効化するとすぐに機能がONになる

Limit Login Attempts Reloaded は有効化するとすぐに機能がONになります。

機能をOFFにしたいなら無効化するかアンインストール

Limit Login Attempts Reloaded の機能をOFFにしたいときは、プラグインを無効化するか、アンインストールするしかないです。

Limit Login Attempts Reloadedの設定

Limit Login Attempts Reloaded の設定画面
Limit Login Attempts Reloaded の設定画面

Limit Login Attempts Reloaded の設定は次の場所から。

「WordPressメニュー」>「設定」>「Limit Login Attempts Reloaded」

設定が終わったら画面下にある「変更を保存」をクリックして設定を反映します。

GDPR 準拠

「GDPR 準拠」は、ヨーロッパの法律に従う設定にするかどうかの機能です。

Webサイトがヨーロッパ向けである場合は「必ずON」

ロック通知

「ロック通知」は、何回ロックアウトしたら指定のメールアドレスに通知するかの設定です。

Active App

「Active App」は、無料版では「Local」のみです。

App Settings

「App Settings」で細かい設定をします。

  • 許可するリトライ回数
  • ロックする時間
  • 長時間ロックの設定
  • リトライ数のリセットのタイミング

「信頼できる IP Origin」に関しては、設定が難しいので「デフォルトのまま」がオススメです。

何回ロックされたかは「Logs」で確認する

統計情報で総ロック数が確認できる
統計情報で総ロック数が確認できる

「Logs」タブの「統計」を確認すれば「総ロック数」が確認できます。

まとめ。

WordPressのセキュリティを高める方法としてセキュリティ「Limit Login Attempts Reloaded」を使うことを紹介しました。

これを使えば、ログインの試行回数を簡単に制御できます。
ログイン画面のロックがかかった回数はログに残ります。
本当に攻撃をつけているかも確認できて対策の有効性が確認できて安心。

記事を読んでくれて嬉しいです。
今日もありがとうございました。

初稿 2020/12/30

タイトルとURLをコピーしました