ワザ99

「Limit Login Attempts」で不正ログインの試行回数を制限しよう

ブルートフォースアタックに強力な歯止めをかける

何度もログインを試行して管理アカウントの乗っ取りを狙うブルートフォースアタックは、ワザ98でも解説したように、WordPressを使ったサイトへの脅威となります。

この対策として有効な手段になるのが、ログインの試行回数を制限するプラグイン「Limit Login Attempts」です。何度も失敗すると、自動的にログイン画面を閉鎖(ロックアウト)し、短時間に何度も試行するブルートフォースアタックの成功率を下げます。正規のユーザーも、パスワードを間違えるなどして何度もログインに失敗するとロックアウトされてしまうので、注意しましょう。初期設定では4回のログイン失敗で20分間ロックアウトし、ロックアウトが4回起こると、長い24時間のロックアウトがされます。

ここでは、ログイン試行回数などは初期設定のままで、4回ロックアウトしたときに、メールで通知するように設定を行います。4回ロックアウトが続き、それがユーザーのミスではないとしたら、自分のサイトが攻撃されているということです。ワザ100の「Stealth LoginPage」を組み合わせるなど、さらなる対策を考えましょう。

ログインの試行回数を制限するには

1プラグインの設定画面を表示する

プラグインの設定画面を表示する

2ログイン試行回数などの設定をする

ログイン試行回数などの設定をする

3設定が完了した

設定が完了した

Tipsエラー回数は全ユーザーの合計が計算される

Limit Login Attemptsでのエラー回数はアカウントに関係なく計算されるため、もしも誰かがミスでロックアウトを起こしたら、全員がログインできなくなります。複数のユーザーで利用している場合はあらかじめ周知して、慎重にログインするようにしましょう。