WordPressのセキュリティは万全ですか?
「パスワードを入力しないとログインできないから大丈夫!」
と考えている人は危険です。
最悪の場合、ブログを乗っ取られてしまうかもしれません。
このページでは、そんなWordPressのセキュリティ性を向上させるLimit Login Attempts Reloadedプラグインの使い方をご紹介します。
Limit Login Attempts Reloadedプラグインとは
Limit Login Attempts Reloadedプラグインとは、WordPressにログイン制限回数を設けて、プログラムによる総当たり攻撃(ブルートフォースアタック)からブログを守るためのプラグインです。
イメージとしては、自転車のチェーンロックで0000~9999までを片っ端から試す感じですね。
Limit Login Attempts Reloadedプラグインを利用すれば、そのような攻撃からブログを守ることが可能です。
ちなみに、WordPressは「ドメイン名/wp-admin」と検索窓に入力することで簡単にログイン画面に移行できますので、誰でも簡単に攻撃が行えます。
Limit Login Attempts Reloadedの使い方
基本的にインストールだけで使えますので、使い方はとっても簡単です。
プラグインのインストール&有効化
まずは、Limit Login Attempts Reloadedプラグインをインストール&有効化します。
プラグインのインストールに不慣れな方は、『WordPressのプラグインのインストール方法』をご覧ください。
Limit Login Attempts Reloadedの設定
Limit Login Attempts Reloadedプラグインは基本的に有効化しただけで使えます。
デフォルト設定では、
- 4回までログインを許可する
- 設定回数以上ログインに失敗したら20分間ロックする
- 4回ロックされると24時間ロックする
- 12時間でログイン回数をリセットする
という設定になっていますので、基本的にこのままで問題ありません。
個別で設定を見直したいという方は、これからお伝えする手順で設定を変更しましょう。
設定の中にあるLimit Login Attempts Reloadedをクリックします。
統計
「統計」の項目では、ログイン試行回数の上限に達してログイン画面をロックされた件数が表示されます。
ロックされている場合、強制的にリセットすることも可能です。
ロック
「ロック」の項目ではロック回数の制御を行うことが可能です。
デフォルト設定で問題ありませんが、変更したい方は必要に応じて変更するといいでしょう。
ロック通知
「ロック通知」の項目では、ロックがかかったときにログを残すかどうか、メール送信をするかどうか、を設定できます。
不正アクセスの情報をすぐに知りたい方は、メール送信にもチェックを入れておくと良いでしょう。
ホワイトリスト
「ホワイトリスト」の項目では、IPアドレスを指定することでLimit Login Attempts Reloadedプラグインのロック機能を外すことが可能です。
「ホワイトリスト」には、自分のIPアドレスを指定しておくと自分だけロックされなくなるので非常に便利です。
自分のIPアドレスをロック指定解除するには、IPアドレス確認ページにアクセスし、自分のIPアドレスをコピーします。
ホワイトリストの左側にコピーした自分のIPアドレスをペーストし、右側に誰のIPアドレスか判断できる名前を入力します。
設定を保存をクリックします。
ブラックリスト
「ブラックリスト」の項目では、IPアドレスを指定することでLimit Login Attempts Reloadedプラグインのロック機能を強制的に発動させることが可能です。
不正アクセスを行っているであろう相手のIPアドレスが確認できた場合には、ここにIPアドレスを入力するといいでしょう。
コメント