WordPressは世界で最も使われているCMSです。そんな大人気なWordPressですが、それ故に、WordPressを狙った攻撃が絶えません。それは、WordPressがセキュリティ的に弱いからではなく、ユーザー数が多いので、ハッカーに狙われやすいのです。

また、WordPressは全て共通で、ログイン画面のURLが決まっているので、IDとパスワードさえわかれば、管理画面に入れてしまいます。

強制的に入り口をこじ開けるブルートフォースアタック(総当り攻撃)

その中でも、ブルートフォースアタック(総当り攻撃)と呼ばれる方法で、ロボットにパスワードを正解するまで順番に入力させて、無理やりこじ開けてしまう方法が良く使われます。しかも、単に順番に文字を入れていくのではなく、可能性の高いパスワードを自動的に分析して、効率的に入力していくので、被害にあってしまうWebサイトも多いです。

Limit Login Attemptsを使ってブルートフォースアタックを防ぐ

そんな、力技とも言えるブルートフォースアタックを防ぐ、大人気プラグイン「Limit Login Attempts」は、複数回のパスワードの入力間違いを起こすと、ログイン画面をロックします。

WordPressのプラグインの中でも、200万を超えるWordPressで有効化されている程の高い人気があります。プラグインのアップデートが2年前(2017/08/14時点)なのが少し気になる所(もしかすると、管理画面系のアップデートはさほど大きな更新がないのかもしれません)ですが、Google XML SitemapsやTinyMCE Advancedなどの超人気プラグインと同様に、高い人気を誇っています。

Limit Login Attemptsのインストールと設定

Limit Login Attemptsは基本、インストールしてからすぐに効果を発揮します。有効化した状態だと、4回ログインに失敗するとロックアウトされてしまいます。パスワードを何度も間違えてしまうという自覚がある方は、ご注意下さい。

WP Limit Login Attempts

プラグインのインストール

プラグインのインストール方法は「WordPressの初心者向け、プラグインのインストール・有効化の方法」にて解説をしていますので、ご不明な場合は一読して下さい。

【WordPressの初心者向け】プラグインのインストール・有効化の方法

プラグインの設定

「Limit Login Attempts Settings」ページでは、プラグインの設定ができます。ここでは、管理画面でのログイン試行回数・ロック時間・リセット時間などを変更することができます。また、ロックアウトした履歴を見たりすることもできます。

管理人に通知することもできます

狙われていることが分かると管理人にメールで通知をしてくれる機能もあります。通知は管理者のメールアドレスに届きます。デフォルトではこの機能は有効化されていないので、通知が欲しい場合は「Notify on lockout」の「Email to admin after…」にチェックしましょう。

プラグイン活用のその前に、IDとパスワードの強度を高める

今回のLimit Login Attemptsの話とはズレますが、ブルートフォースアタックを行っても、判断できないユーザーID・パスワードにしておくことが基本です。想像しにくいパスワードの生成を簡単に行うことのできるサイトをご紹介しておきます。

ノートン パスワードジェネレーター