みなさん、WordPressのログイン時のセキュリティ対策はしていますか。
WordPressはとても有能でたくさんのシェアを誇るシステムですが
その代わりに悪意のある人達からの攻撃によって危険と隣り合わせだったりします。
いくら頻繁にアップデートが行われていても、やはり安心はできません。
そこで今回は、WordPressのログイン回数に制限を付けて
一定の回数に失敗するとログイン手続きをさせない機能のあるプラグイン
Limit Login Attempts Reloadedの紹介をします。
設定や使い方はとても簡単で有効化の後、何も設定しなくても機能するくらいです。
プラグインのインストールから設定、使用検証まで画像付きの説明がありますので
セキュリティ対策の参考にしてみてください。
プラグインLimit Login Attempts Reloadedとは
このLimit Login Attempts Reloadedというプラグインは、
6年以上前にWordPressのログイン時のセキュリティ対策としてあった
Limit Login Attemptsの進化版のようなものになります。
*当時200万インストールされている便利なツールです。
そのLimit Login Attemptsが何年もアップデートが行われない内に
Limit Login Attempts Reloadedという似たような名前のプラグインが開発されました。
制作者が違いますが後継プラグインとして見られています。
機能はWordPressのログイン回数の制限を決めて設定回数以上ログインを失敗すると
次回のログイン可能までの時間を設定する方法です。
これはLimit Login Attemptsと同じ機能になっていますよ。
Limit Login Attempts Reloadedのインストール
セキュリティ強化をしていきましょう。
では、WordPressにログインしてダッシュボードから
「プラグイン」→「新規追加」をクリックしましょう。
プラグインの追加のページが開いたら
キーワード検索欄に「Limit Login Attempts Reloaded」と入力します。
検索結果は自動で表示されますよ。
Limit Login Attempts Reloaded を探して
「今すぐインストール」をクリックします。
インストールが終わるまで少しだけ待ちましょう。
インストールが完了したら
「有効化」をクリックしましょう。
クリック後は、インストール済みのプラグインのページが開きます。
もし、自動でページ移動しない場合は
自分で「プラグイン」→「インストール済みのプラグイン」で確認できますよ。
これで導入が成功でデフォルト設定でのログイン回数制限は効いていますよ。
WordPressログイン回数の制限設定
ここでは、自分好みのWordPressログイン回数の制限を設定していきます。
ダッシュボードから「設定」→「Limit Login Attempts」をクリックします。
Limit Login Attempts設定のページが開きます。
ここで各種設定を行います。
設定例として一つずつ説明がありますので参考にしてみてください。
①総ロック数: 今までにロックした回数です。*現時点0ですね。
②GDPR 準拠: ヨーロッパの規定基準なのでチェックしなくてOKです。
③ロック: ここに好みの基準を設定します。
④ロック通知: ロック制限を超えた場合WordPress上で確認するか
指定のメールで通知を受けるかを選べます。
ここの設定ではIPアドレスを入力しておくと
ホワイトリスト(制限なしユーザー)、ブラックリスト(常に制限あり)として
事前に処理を決めておくことができます。
通常は、空白のままで大丈夫です。
最後に「設定を保存」をクリックするのを忘れないよにしましょう。
また、「Settings」の横にある「Debug」タブは変更しないです。
これでLimit Login Attempts Reloadedの設定は終わりです。
WordPressログイン回数制限の確認
この制限を付けると実際はどのようになるのか確認してみましょう。
まずは、今のWordPressからログアウトして
通常のログイン画面を表示させます。
あえて間違ったユーザー名、パスワードで試してみます。
このようにログインができず、
その上で、設定してある回数から逆算した数が表示されます。
ここでは、あと1回間違うとペナルティになります。
確認のために間違ってみます。
制限回数を超えてしまいペナルティーが発生です。
設定していた20分間はログイン手続き自体ができません。
*こうすることで悪意のあるロボットログインをブロックできます。
20分後にログインして
Limit Login Attempts Reloadedの設定を確認します。
設定ページの一番下に画像のようなレポートがあります。
Limit Login Attempts Reloaded の紹介はこれで終わりです。
この機能はあると便利ですね。
もし、これを機にパスワードを変更してセキュリティ強化がしたい方は
ここの記事で画像付きで説明していますので参考にしてみてください。
まとめ
みなさん、WordPressログインのセキュリティ対策プラグイン
Limit Login Attempts Reloadedはどうでしたか。
ログイン回数を制限する方法はとてもいいような気がします。
特に複雑なこともせずに使えるので気がらくですよね。
このログイン回数ですが、銀行のATMの操作時と同じような感じがしました。
また、私も含めてブログ作成で使われているWordPressは世界的に見てもシェアが高いです。
そのことを理解して、定期的なパスワードの変更やこのプラグインのような
ログイン回数の制限をすることで
自分のブログは自分で守るという意識を持つ方がいいかもしれませんね。