TREVOのスタッフブログ

Blog
2016.02.03.

WordPressへの連続不正ログインを防ぐプラグイン

20160203-1近年のホームページはWordpress(CMS)で制作されています。Wordpress(CMS)でホームページを更新するにはIDとパスワードを入力して管理画面に入る必要があります。
しかしながら、IDとパスワードが必要となると不正アクセスが問題になってきます。
特にユーザー名がデフォルトの『Admin』になっている場合は、攻撃者はパスワードのみに絞ってアタックするのでログインを突破されるのは時間の問題となります。
本来ならユーザー名を『Admin』から変更してログインを強化するのが先決ですが、
今回紹介するプラグインは間違ったログイン情報が連続して送信された場合に、ログインへのアクセスを一定時間遮断して連続攻撃を防ぐことができるプラグイン「Limit Login Attempts」の紹介をします。
 

プラグインのインストール

Limit Login Attempts」のページにアクセスしてプラグインをダウンロードします。
プラグインをインストールしてプラグインを有効化にします。

 

設定方法

20160203-2
設定に「Limit Login Attempts」が表示するのでクリックします。
 
059
 
1.設定した回数のログインを実行することができます。デフォルトでは4回までリトライができます。
2.設定した時間なにもしなければログアウトとなる。デフォルトでは20分
3.設定した回数ロックアウトすると、設定した時間ロックする。デフォルトでは4回遮断されると今度は24時間遮断になります。
4.設定した時間でログインを試す回数をリセットする。デフォルトでは12時間
5.サーバに関する設定(サイトへ直接接続しているか、プロキシーサーバを利用している)不明の場合はそのままの設定
6.クッキー保存している情報からログインを許可するのかの設定
7.ロックされたIPをログに残す(クッキーに保存されている情報からログインを許可するの設定)
8.管理者へメールするロックアウト回数。デフォルトは、4回。
 
以上で、設定は完了します。
 
 

まとめ

不正アクセスは総当り攻撃でログインを試みます。
今回のプラグインはログイン回数を決めて一定以上のログインミスがあるとログインをロックしてくるプラグインになりますので総攻撃を仕掛ける不正アクセスは有効なプラグインになると思います。