ブログのセキュリティ対策していますか?
WordPressは標準状態ではログインに失敗しても何もペナルティがありません。つまり、当たるまでIDとパスワードを何度も入力し続けてログインすることだって可能なわけです。
そんなブログの乗っ取り行為を防ぐためにも、ログインの試行回数を制限しましょう。今回はお手軽にハッキングを防ぐプラグイン「Limit Login Attempts Reloaded」の導入方法と使い方を解説していきます。
Limit Login Attempts Reloadedの設定・使い方
Limit Login Attempts Reloadedは、WordPressの開発チームによって作られた公式のセキュリティプラグインです。定期的なアップデートによって常に最新版のWordPressに対応しているので、安心して使用できます。
インストールと有効化
それでは早速導入していきましょう。
まずはプラグインの「新規追加」をクリックして、”Limit Login Attempts Reloaded”で検索します。見つかったらインストールして有効化しましょう。
基本的な設定
有効化まで進んだらプラグインの設定をしていきましょう。
Limit Login Attempts Reloadedの設定はサイドバーの「設定」>「Limit Login Attempts」にあります。
一般設定
画面が切り替わったら「設定」タブをクリックして設定ページに移動します。
まずは上部の一般設定から解説していきます。
設定する項目は赤枠で囲った部分です。
・GDPR準拠
GDPR(EU一般データ保護規則)に準拠して、下の「GDPR message」をログインページに表示するという設定です。GDPRはEUの個人情報に関する法律ですが、日本も全くの無関係ではありません。メッセージが表示された試しはありませんが、一応チェックを入れておきましょう。(参考:GDPRとは?)
・ロック通知
設定した回数ロックがかかるとメールで通知します。前の枠にはメールアドレス、後ろには通知するロックの条件(数)を入力します。ハッキングをいち早く感知するためにも設定しておきましょう。
ロックの条件を設定
ページ下部のApp Settingsでは、ロックされる条件を設定することができます。
初期設定(画像の通り)では、4回ログインに失敗すると20分間ログイン不可になります(ロックされる)。そこから更に失敗して4回ロックされると、その時点から24時間はログインできなくなります。
※「リトライ」ではなく「トライ」が正しいです
あまり厳しくすると自分が誤ってロックされる恐れもあるため、少しだけ余裕を持った数値に設定しましょう。
ユーザー毎にログインを制限する
「Logs」のページでは、ユーザーを選んでログインの制限・解除をすることができます。
・総ロック数
これまでロックされた総数が表示されます。
・Safelist
ログイン制限を免除する人をユーザー名・IPアドレスで指定できます。よくログインに失敗する場合は、ここに自分のユーザー名かIPアドレスを記入しておきましょう。
※自分のIPアドレスはCMANというサイトで確認できます
・ブロックリスト
ログインさせたくない人をユーザー名・IPアドレスで指定できます。指定されたユーザーは無条件でログインすることができなくなります。 ちなみに、ハッキングしようとした人のIPアドレスは、ロック通知のメールで分かります。
プラグインが機能しているか確認する
設定が完了したら、実際にプラグインが動いているか確認しましょう。
一度ログアウトして、ログイン画面に入ります。(上バーのアイコンにカーソルを合わせると「ログアウト」があります)
そして、ロックされないように一度だけログインに失敗してみましょう。画像のような表記が出ればプラグインがちゃんと機能しています。
ちなみに、4回間違えてロックされると以下のようになります。
ログインフォームは表示されていますが、正しいユーザー名・パスワードを入力してもログインできなくなります。
まとめ
WordPressは世界中で使用者が多い分、その存在を知っている悪いハッカーも多くいます。ログインされて管理者権限でブログを悪用されないためにも、ログインの試行回数はしっかりと制限しましょう。
あわせて、WordPressの初期設定ではログインに使うユーザー名がまる見えなので、ユーザー名を隠す設定もしておきましょう。
