【WordPress Plugin】ログイン周りの制御ができるLimit Login Attempts Reloadedの設定方法と使い方
Wordpressの管理画面は、インストールした状態だと「インストール先/wp-login.php」もしくは「インストール先/wp-admin」となっているため、Wordpressの仕組みを知っている方であれば簡単に管理画面を表示させることができます。
万が一ログイン情報が洩れた場合、ログインされてしまうとソースの改変やデータの破壊される可能性があります。
そこで、今回はログイン周りの制御ができるプラグイン「Limit Login Attempts Reloaded」のインストールと設定方法を紹介したいと思います。
Limit Login Attempts Reloadedについて
Limit Login Attempts Reloadedは、ログイン画面に対するログイン制御をおこなってくれるプラグインです。
主にパスワード総当たり攻撃(ブルートフォースアタック)による不正ログインを防止するためのプラグインになります。
Limit Login Attempts Reloadedの機能として下記ができます。
- 無料で誰でも利用できる。
- ログイン試行回数を制限し、ログイン認証に複数回失敗すると、ログイン画面にロックすることができる。
- ログイン試行回数とログイン画面のロック時間を自由に設定ができる。
- プラグインをインストールして有効化するだけですぐに利用できる。
パスワード総当たり攻撃(ブルートフォースアタック)とは
総当たり攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読法。
例としては、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ(4桁なら0000から9999まで)を片っ端から試す方法と同じで、この「片っ端から」で、いずれ正解に行き着こうというものである。
引用元:wiki「総当たり攻撃」
コンピュータでランダム文字列をつくり、ログインができるまでログイン試行を繰り返します。
こういった攻撃に対してログイン試行回数に制御することでログインを阻止してくれるプラグインになります。
Limit Login Attempts Reloadedのインストール方法
Limit Login Attempts Reloadedのインストール方法ですが、Wordpressの管理画面左メニューにあるプラグインからプラグイン検索で「Limit Login Attempts Reloaded」と検索します。
検索すると下記のようなイラストのプラグインが検索結果に表示されますので「今すぐインストール」ボタンをクリックして有効化までおこなってください。
※検索結果の1番目に表示されない場合がありますので、違うプラグインをインストールしないように注意してください。
なお、プラグインの操作の仕方は下記の記事にまとめてありますのでわからない方は参考にしてみてください。
Limit Login Attempts Reloadedの使い方
Limit Login Attempts Reloadedはインストール後、初期状態のままでも十分使えるプラグインです。
初期状態のロック仕様
初期状態で使用したい場合は、下記仕様になっています。
- 4回までリトライを許可する
- ロック時は、20分間ロックする
- 4回連続でロックされると24時間ロックする
- ログイン試行回数は12時間でリセットする
けっこう厳しめの条件になっています。
日本語化したい場合
Limit Login Attempts Reloadedは、デフォルトのままだと日本語対応されていないため英語で表示されてしまいます。
日本語化する場合は、下記ページにまとめましたので手順通り進めてみてください。
[kanren postId="216"]
Limit Login Attempts Reloadedの設定画面を表示
Limit Login Attempts Reloadedの設定画面は、下記方法で表示することができます。
- Wordpress管理画面を開く
- 設定メニューにカーソルを合わす
- Limit Login Attemptsをクリックする
Limit Login Attempts Reloadedの設定方法
各項目を説明します。
Statistics(統計)
Total lockouts:
ログイン試行回数の上限に達しログイン画面をロックされた件数が表示されます。ロック中の場合、強制リセットすることもできます。
Options(オプション)
こちらの設定項目は、ログイン試行回数やログイン試行回数の上限に達した際のログインロックする時間などを設定する項目になります。
①ログイン試行回数を設定する項目になります。例えば「4」と入力した場合、4回ログイン試行失敗するとロックされます。
②ログイン画面のロックが解除される時間を設定する項目になります。例えば「20」と入力した場合、ログイン画面がロックされてから20分後に解除されます。
③何度もログインロックされた場合の設定項目になります。例えば「4」と「24」と入力した場合、ログインロックを4回以上した場合は、24時間後に解除されます。
④ログイン試行回数を解除する設定項目なります。例えば「12」と入力した場合、ログイン試行回数が12時間経過後にリセットされます。
Notify on lockout
Lockout log:
ログイン画面がロックされたときのログを残すかどうかの設定です。チェックを入れると、ロック時のアクセスログを残してくれます。
ちなみにログは、同画面の最下部に表示されます。
Email to admin after 【数字】 lockouts:
管理者に画面ロックされた回数によって通知するかの設定になります。チェックを入れると、入力欄の回数(例:4)に達すると管理者宛にメールが送信されます。
Whitelist(ホワイトリスト)
こちらの設定は、IPアドレスを指定することでプラグインのロック制御を除外してくれる設定項目なります。
管理画面にログインするIPが決まっている場合は、指定しておくと便利です。
Blacklist(ブラックリスト)
こちらの設定は、IPアドレスを入力することで同じブラックリストに登録したIPアドレスでアクセスしてきた場合、強制的にログイン画面をロックさせることができます。
まとめ
今回はログイン周りの制御ができるプラグイン「Limit Login Attempts Reloaded」を紹介しました。
万が一のことを考えてこのプラグインをインストール・設定しておくことをおすすめします。
コメント
コメントを残す