Limit Login Attemptsは、WordPressのログイン画面に対するログイン試行回数を制限できるプラグインです。ログイン認証に複数回失敗すると、ログイン画面を一定時間ロックし、管理画面への不正ログインを防ぐ効果があります。ログイン試行回数やログイン画面のロック時間は、プラグインの管理画面で自由に設定できます。
このプラグインを利用すると、パスワード総当り攻撃(ブルートフォースアタック)による不正アクセスを防止できます。プラグインの管理画面でログイン試行回数やログイン画面をロックする時間を設定できます。
もし、WordPressのログイン画面に対するセキュリティ対策を何もしていない場合は、このプラグインを活用しましょう。
はじめに
このプラグインが優れている点
- WordPressのログイン画面に対するログイン試行回数を制限し、ログイン認証に複数回失敗すると、ログイン画面をロックすることで、管理画面の不正ログインを防ぎます。
- パスワード総当り攻撃(ブルートフォースアタック)による不正ログインを防止できる。
- プラグインの管理画面でログイン試行回数とログイン画面をロックする時間を自由に設定できる。
- ログインに複数回失敗したユーザーの接続元情報やロック回数を確認できます。
- このプラグインは、初期設定のままでも利用できます。
パスワード総当り攻撃とは?
パスワード総当り攻撃(ブルートフォースアタック)とは、暗号や暗証番号などで理論的にありうるパターン全てを入力し解読する暗号解読法。人間の操作では「面倒臭過ぎ」て解析不可能な回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。
引用元: Wikipedia
WordPressのセキュリテイ対策の重要性について
WordPressは、日本でも海外でも非常に人気のあるコンテンツ管理システム(CMS)です。利用者が非常に多いので、それを悪用しようとする悪者も非常に多いです。
それらの殆どが海外からの不正利用です。脆弱性をスキャンし、何かセキュリティ的な弱点を発見したら、それを利用してWebページを改ざんしたり、WordPressを乗っ取ったりすることがあります。
WordPressをセキュリティ対策を何もとらずに利用していると、様々な危険に晒されたままの状態になり、非常に危険です。セキュリティ対策のプラグインを活用し、WordPressのセキュリテイを向上させましょう。
インストール方法
管理画面から検索してインストールして下さい。
もしくは、WordPress.org からダウンロードし、アップロードしてインストールして下さい。
- WordPress管理画面 > プラグイン > 新規追加 >「Limit Login Attempts」で検索
- WordPress.org からダウンロード
プラグインの設定
管理画面の場所
プラグインの管理画面は下記の場所にあります。
WordPress管理画面 > 設定 > Limit Login Attempts
管理画面の設定
プラグインの管理画面は、設定を特に変更しなくてもそのまま利用できます。もっと厳しい設定にしたい場合は数値を変更しましょう。
また、ログインに複数回失敗したユーザーの接続元情報やロック回数を画面の下の方で確認できます。
ログイン画面の例
プラグインをインストールすると、ログイン画面の上部に表示されるエラーメッセージが変わります。
ワンポイントアドバイス
このプラグインを利用していると、「admin」ユーザーに対して不正ログインを試みようとする履歴が沢山残ります。「admin」ユーザーをそのまま利用するとセキュリティ的に良くありません。ユーザー名に「admin」を使用している場合は、必ずユーザー名を変更しましょう。
セキュリティ対策の特集
このプラグイン以外にも、WordPressにはセキュリティ対策のプラグインが多数あります。更にWordPressのセキュリティを強化したい場合は、下記記事を参考にして下さい。
参考記事
まとめ
Limit Login Attemptsは、WordPressのログイン画面に対するログイン試行回数を制限できるプラグインです。ログイン認証に複数回失敗すると、ログイン画面を一定時間ロックし、管理画面への不正ログインを防ぐ効果があります。
もし、WordPressのログイン画面に対するセキュリティ対策を何もしていない場合は、このプラグインを利用してパスワード総当り攻撃(ブルートフォースアタック)に対する防御を行いましょう。
レンタルサーバーのセキュリティ対策
ちなみに、「エックスサーバー」や「wpXレンタルサーバー」では、レンタルサーバー自体に「WordPressログイン画面へのログイン試行回数制限」と「海外IPアドレスからの接続制限」があるので、このプラグインを利用する必要がありません。WordPressのセキュリティ対策やバックアップ体制がしっかりしているレンタルサーバーを利用するのもセキュリティを向上させる一つの方法です。
このプラグインを使い続けてはいますが
気が付けば今日確認した時点で、
プラグインの更新は3年前となっておりました。
それでも使う人が多いと言う事は
信用度は高いと言う事でしょうかねぇ?
もし類似のプラグインがあれば
差し支えなければですが、
その記事を紹介してください!
プラグインの信頼性については、セキュリティの専門家じゃないので、正直よくわからないですね。
このプラグインは、確かに最近アップデートされていないので、今後のことも考えて、他のプラグインに乗り換えるのを検討してもよいかもしれません。
個人的なお勧めとしては、日本の企業が開発しているセキュリティ対策のプラグインがあります。
このプラグインは、レンタルサーバーのヘテムルでも標準装備されてます。
日本語表記なので、こっちの方が良いかもしれません。
SiteGuard WP Plugin
http://netaone.com/wp/siteguard-wp-plugin/