WordPressユーザーなら「Limit Login Attempts」を入れておけ

ここのところWordPressを使っているサイトに対して、いわゆる総当りで不正ログインを試みるブルートフォースアタックが増加しています。

今回はこうした不正アクセスを防止するためのひとつの策として、ログイン試行回数を制限し、回数を超えた場合一定時間アクセスを遮断するプラグイン「Limit Login Attempts」を紹介します。

Photo:Padlock By:Simon CocksPhoto : Padlock By Simon Cocks

このプラグインを導入することになったのは、まさしく前述通り実際に当ブログや、僕のポートフォリオサイトに対しても毎日のようにアタックが繰り返されたため。
あまりにもひどいためサーバーのレンタル会社判断でhtaccessファイルを使って管理画面へのアクセスを全遮断する措置が取られたりと、結構深刻な状況だったりします。

一応、不正ログインを仕掛けてきたIPアドレスはWordPressプラグイン「Crazy Bone」で確認し、これをhtaccessファイルに書き込んでアクセス遮断していたんですが、正直件数が多すぎて全然追いつかず・・・。

そこで導入したのが今回紹介する「Limit Login Attempts」です。

「Limit Login Attempts」

このプラグインをインストールするだけで、WordPressのログイン画面に対してログイン試行回数が設定されます。

ログイン認証に複数回失敗するとログイン画面へのアクセスをロックし、その履歴を残してくれます。

日本語化する

プラグイン自体は日本語に対応していませんが、別途日本語化ファイルが配布されています。

日本語化ファイルをダウンロードしたら、
wp-content/plugins/limit-login-attempts
の中に放り込むだけで設定画面もろもろが日本語になります。

設定画面

Limit Login Attempts

プラグインはインストールして有効化すれば、基本的に特に設定は変更せずともしっかりと利用できます。
リトライの許可回数やロックする時間設定などを厳し目に設定したいという場合は数値を変更しておきましょう。

気をつけておきたいのがサイト接続の項目。
リバースプロキシを構築している場合、設定でサイト接続を「リバースプロキシで接続」にしておきます。設定しない場合、ヘタすると長時間自分自身がアクセスできなくなるかもしれませんよ。