ログインを制限してセキュリティ対策するプラグイン Login LockDown
Login LockDown は、ログイン画面でのパスワード入力を試みる回数を制限することで、セキュリティ対策をするプラグインです。
簡易的なものですが、ある程度の効果は見込めますので、ぜひ導入しましょう。
ログイン失敗の回数を制限することでセキュリティ対策
WordPressのログインURLは、みんな基本的にhttp://???.??/wp-login.phpというURLです。
ですので、知っている人なら案外簡単にログイン画面に入られてしまいます。
もし悪意のあるユーザーにパスワードやユーザー名がバレてしまったら、管理画面に正規ユーザーとして侵入されサイトの改竄などヒドイことをされてしまうかもしれません。
そうされないように、ある程度セキュリティ対策は した方が良いと思います。このような侵入対策としては、ログインURLを変更する方法と、ログイン制限によるクラッキング防止が定番です。
ここでは、ログイン制限によるクラッキング防止について説明します。
よく銀行などで暗証番号など入力回数制限が設けられたりしてますが、アレがログイン制限によるクラッキング防止です。パスワードを総当り(ブルート・フォース・アタック)で調べられるのを防ぐ効果があります。
パソコン上でのログイン総当りは、手入力ではなく、ツールを使って自動で出来てしまいますので、このログイン制限によるクラッキング防止は、とても重要なセキュリティ対策となります。
Login LockDownの導入方法 設定や使い方
それでは実際に使ってみましょう。Login LockDownをインストールして「有効化」しましょう。
あとは設定を行なうだけです。メニューから「設定」「Login LockDown」 を選択してください。
設定項目です。自分好みに修正しましょう。
設定の内容は、以下のような意味です。
| Max Login Retries | 一度にログインを試せる回数の上限 |
|---|---|
| Retry Time Period Restriction | ログイン失敗回数が回復するまでの期間の設定 |
| Lockout Length | ログイン制限を受けた場合、次にログインできるようになるまでの期間の設定 |
| Lockout Invalid Usernames | ユーザー名を間違えた時も試せる回数を減らすかどうか |
| Mask Login Errors | ログインエラー時のメッセージをセキュリティの高いものにするかの設定 |
| Currently Locked Out | 現時点のログイン拒否中のIPアドレスが表示されます |
例えば、下のような設定をするとします。
Retry Time Period Restriction (minutes): 30
Lockout Length (minutes): 120
この場合、「30分以内に3回ログインに失敗すると120分間はログイン出来なくする」という意味となります。ここら辺は、自分の好みで設定すると良いでしょう。
■ Lockout Invalid Usernames
パスワードだけでなく、 ユーザー名を間違えた時も試せる回数を減らすかどうかの設定です。
ユーザー名の総当り(ブルート・フォース・アタック)も考えられますので、一応、Yes(設定する)を選択しておいた方が良いと思います。
■ Mask Login Errors
ログインエラー時のメッセージをセキュリティの高いものにするかの設定です。
例えば、何も設定してない時は、ログインエラー時「ユーザー名」が正解で「パスワード」を間違えた時は、「パスワードが違います」と表示されますが、逆説的に考えると「ユーザー名」は正解ということがバレてしまいます。この設定を、Yes(設定する)を選択すると、エラーメッセージが「ユーザー名、パスワードが違います」というように、どれがエラーになったのかわからなくなります。
セキュリティ対策のため、Yes(設定する)を選択しておきましょう。
以上で設定は終了です。簡易的ですが効果がありますのでぜひ導入しましょう。
Pingback: 不正ログインを防止「Login LockDown」 | WP MEMO()