悪意をもったユーザーが、WordPress のログインページにアクセスをしてきて、ログインできるまでユーザー名やパスワードの入力を総当りで何度も試みることを「ブルートフォースアタック」と言います。
ブルートフォースアタックは、かなり有名な WordPress ハック手法なので、WordPress サイトを運営するなら、その対策は必ず行っておかなければならないのです。
ブルートフォースアタックの対策は、プラグインを使えば簡単に行なえます。
WordPress のログインを試みたときに、任意で設定した回数分ログインを失敗したらその IP アドレスからは暫くアクセスができないようにできる便利なプラグインがあります。
- 今回はブルートフォースアタック対策「Simple Login Lockdown」の使い方を紹介します。
ブルートフォースアタックとは?
ログインページから不正アクセスをするために、ユーザー名やパスワードを総当たりでログインできるまで何度も試すやりくちを「ブルートフォースアタック」と言います。
これを防ぐためには、「ログインに10回失敗たら、その IP アドレスからは1時間ログインページにはアクセスできない」のような対策を施す必要があります。
プラグイン「Simple Login Lockdown」
WordPress プラグインの新規追加で「Simple Login Lockdown」を貼り付けて検索します。一番上には出てきませんが、スクロールするとあります。
これをインストールして有効化します。
なぜ、ぼくがブルートフォースアタック対策に、この「Simple Login Lockdown」を使うかと言えば、他の類似プラグインに比べて、設定方法がとてもシンプルでわかりやすいからです。あとプラグイン自体がとても軽い。
Simple Login Lockdown の設定方法
設定 → 表示設定の中に Simple Login Lockdown の設定項目があります。
- Login Attempt Limit ・・・ログイン情報の入力を何回まで失敗できるかの回数
- Login Lockdown Time ・・・ログイン失敗回数オーバー後の復帰までの時間
画像の例なら「ログイン失敗を10回繰り返したら、その IP アドレスからは 60分間ログインページにはアクセスできなくなる」という設定になっています。
あとがき
ブルートフォースアタックのように、無制限の総当たりでパスワードを入力されればいつかはログインされてしまいます。
しかし、ログイン失敗回数が決まっていて、その後のペナルティがあれば悪意のユーザーも諦めます。回数ためせないんですからね。
実際にかなり効果ありますよ。このプラグイン。
