WordPressの不正ログインを防いだり監視したりするプラグインはいくつかあり、複数を組み合わせるのがいいと思います。まず手始めに何をするか、ということであればまずはどのぐらい不正ログインが来ているのかを監視して不正ログインが続いたらロックしてログインできないようにしてくれる、limit login attemptsを入れておくことをお勧めします。
limit login attemptsとは?
limit login attemptsとは「不正ログインがあったときにメールで通知してくれる」「ログイン失敗回数を制限してくれる」「不正ログインがあったときに、そのipアドレスからのログインを制限する」機能を持つプラグインです。
WordPressのログイン画面には誰でも入れるため、ここで不正なログインを試みようとすることが多く発生しています。そこでこのプラグインで不正なログインをしようとしたときに、記録をしたり、制限をかけることでWebサイトのセキュリティを高めたいと思います。
limit login attemptsについては今までもblogに書いてきました。
[ryus_blogcard url=”https://usortblog.com//forbruteforceattack/”]
[ryus_blogcard url=”https://usortblog.com//loginattempt2/”]
今回は今現在のlimit login attemptsをダウンロードしてきて、設定して、実行する方法について改めて書きたいと思います。
limit login attempts をダウンロードして初期設定する
limit login attempts をダウンロードして初期設定します。
ダッシュボード プラグイン>新規追加 をクリック
limit login attempts と入力してリターン
このプラグインが limit login attempts です。今すぐインストール をクリック。
プラグインを有効化 をクリック。これでプラグインがインストールされて、有効化されます。
設定>Limit Login Attempts をクリック
このように設定項目があります。ちょっとわかりにくいので、日本語に翻訳してみました
よくわかりました(^^)/。デフォルトでは、limit login attemptsによって、ログインの時に
4回まで失敗が許される
4回失敗したら20分間ログインすることができない
ロックアウトが4回繰り返されたらロックアウト時間を24時間増やす
12時間経つとリトライ(失敗)したという記録がリセットされます。
という設定になっているようでした。
この設定の数値は後々、どのぐらい不正ログインを試みられているかということがわかってから増やしたりできますので今時点ではこのまま置いておきます。修正したい箇所は、
Site connection で、From behind a reversy proxy をチェックします。これはこうしておかないとローカルのIPが記録されて、自分がずっと入れなくなる可能性があるからです。
Notify on lockout の Email to admin にチェックを入れて after 1 lockouts としておくことをお勧めします。これは1回ロックアウトした時点でWeb管理者にメールをするという指定です。Web管理者のメールは「設定>一般 メールアドレス」となります。こうしておくと1回ロックアウトされただけで通知が来るので、どのぐらい危険が迫っているか(^_^;、ということがわかりやすくなると思います。
この状態で Change Options をクリックします。
なお、このプラグインの日本語化とFrom behind a reversy proxyにチェックを入れておいた方がいい、ということについては
[ryus_blogcard url=”https://usortblog.com//forbruteforceattack/”]
ここに書いてありますので、ご興味があれば参照してください。
不正ログインをしようとするとどうなるのか?を試してみる
不正ログインをしようとするとどうなるのか?を試してみます。
ログイン画面で、わざと間違えたユーザーとパスワードを入れてログインすると
このようにあと3回までリトライできるというエラーが表示されます(こうやって見るとやはり日本語化しておかないと面倒ですね(^_^;)。
だんだん回数が減っていき、
このメッセージの時に間違えると、
こういうエラーが出て、この時点で正しいユーザーとパスワードを入力しても、
このエラーが出てログインできません。ここに書いてあるように20分経過しないと正しいユーザーとパスワードでもログインできなくなります。
管理者のメールを確認すると、
このように不正ログインがあり、ロックされたという情報がメールで届いていました。
limit login attempts を入れた後は、このメールがどのぐらいくるか、どんなユーザーでログインしようとしているかなどを知ることができ、セキュリティをそうしていけばいいかということを判断する材料となります。
厳しい設定にもできますが、自分が間違ったときのことを想定しておきましょう
limit login attemptsを導入した後に、limit login attemptsからのメールがかなり頻繁に来るようなことがあれば、設定をもっと厳しくして(ロック時間を増やしたり、再試行回数を減らしたり)さらにセキュリティを高めるという方法もとれます。
しかし、その場合は自分がうっかり入力ミスをしてしまったときにログインできない!という事態になることも想定しておく必要があります。1回ロックされたら次回リトライできるまでの時間をとても長くしてしまった場合などは、データベースを直接updateしてデータを修正する必要があります。
その方法については、「もしどうしても入れなくなったら」に書いてありますので、参照してみてください。
[amazon_searchlink search=”Web セキュリティ”]
コメント