• 18521
    views
  • このエントリーをはてなブックマークに追加
  • follow us in feedly

ブルートフォースアタックの記事を頻繁に目にするようになりましたので、今回は不正アクセス対策用のWordPressプラグインを少しばかりご紹介。

admin という名前のユーザーをやめる」「パスワードは推測されにくいモノとし、且つ定期的に変更する」などの他の対策と合わせて、「指定回数ログインに失敗するとロックをかける」という機能を持ったプラグインを入れておくのも効果的です。

わたしが過去に利用したプラグインは「Simple Login Lockdown」と「Login Attempt Limit」の2種有りますが、どちらも「ログイン試行回数を決めて、ログインに失敗した場合のロックアウト時間を設定する」ことが主な機能ですが、微妙に設定方法や機能が異なる部分もあります。

今回はこの2つのプラグインの簡単な導入方法を紹介させていただきます。

(1)Simple Login Lockdown

管理画面のプラグイン新規追加画面より Simple Login Lockdown を検索してインストールするか、以下よりプラグインファイルをダウンロードします。


プラグインをインストールすると、管理画面の「表示設定」のページ内に Simple Login Lockdown の項目が追加されます。

Login Attempt Limit」で、ログインの試行回数を「5」から「20」の間で設定変更できます。
ログインに失敗したらロックアウトするWordPressプラグイン「Simple Login Lockdown」と「Limit Login Attempts」の比較

Login Lockdown Time」では、ログイン認証に失敗した後のロックアウト時間を設定できます。
「30分、60分、2時間、3時間、4時間、8時間、24時間」の中から選択できます。
ログインに失敗したらロックアウトするWordPressプラグイン「Simple Login Lockdown」と「Limit Login Attempts」の比較

設定はシンプルで分かりやすいですが、ログインの試行回数および、ロックアウト時間の選択肢が少ない印象です。


(2)Limit Login Attempts

続いて Limit Login Attempts ですが、こちらも管理画面のプラグイン新規追加画面よりインストールするか、以下のサイトよりプラグインファイルをダウンロードします。

プラグインをインストール後、「設定」 > 「Limit Login Attempts」と進み、「Limit Login Attempts Settings」ページで各種設定を行います。

まずはサンプルを以下に紹介させていただきます。
ログインに失敗したらロックアウトするWordPressプラグイン「Simple Login Lockdown」と「Limit Login Attempts」の比較

Limit Login Attempts の基本設定

上記の図だと、
3回ログインに失敗するとロックアウトする。
30分間ロックアウトされる。
・ロックアウトされた回数が3回に達すれば、今度は24時間ロックアウトされる。
・ログイン回数を12時間でリセットする。
という設定になります。

Simple Login Lockdown と異なり、「Lockout」の欄では試行回数もロックアウト時間もテキストフォームですので、任意の数字を設定できます。


オプション

Limit Login Attempts ではロックされた回数を監視できたり、IPをログに残すことができるなど、機能面でも異なります。

Handle cookie login」では、クッキーに保存されたログイン情報でログインする場合はどうするか?を決めます。
ログインに失敗したらロックアウトするWordPressプラグイン「Simple Login Lockdown」と「Limit Login Attempts」の比較

Notify on lockou」では、ロックされた場合の通知設定として「IPをログに保存」するか「メールで通知」するかを選択できます。
ログインに失敗したらロックアウトするWordPressプラグイン「Simple Login Lockdown」と「Limit Login Attempts」の比較

個人的な意見ですが、「監視やログ、通知機能を使いたい」場合は Limit Login Attempts、「シンプルな機能で充分」な場合は Simple Login Lockdown という感じででしょうか。

この手のプラグインを入れることで完全に不正アクセスを防げる訳ではありませんが、セキュリティ対策の一環として導入したいプラグインではないかと思います。

  • 18521
    views
  • このエントリーをはてなブックマークに追加
  • follow us in feedly

この投稿と関連する記事一覧

この記事に関するコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください