WordPressのカスタマイズ方法やプラグインレビューを中心に、パソコン/動物/植物のことなどを紹介するホームページです

一定の時間内でのログイン試行回数を制限するセキュリティプラグイン「Login LockDown」

公開日:2016年11月27日 セキュリティ


Wordpressで会員制サイトなどを作り、たくさんのユーザーからログインされるようなサイトを運営する際のログインセキュリティ対策はどうしていますか?

また、単純にユーザー名やパスワードを忘れてログインの失敗が続く場合ではなく、適当なユーザー名やパスワードを使ってログイン試行を行う「ブルートフォースアタック」の標的になっていませんか?

単純なミスによる試行に関しては仕方ないとしても、悪意を持って短時間に不正ログイン処理を繰り返されると、少なからずサーバーに負担がかかり、最悪の場合はサーバーがハングアップしてしまう、高負荷によりアカウントが停止され、せっかく作ったサイトが凍結されてしまうということもあります。

対策として一般的なのは「capcha認証」。出てきた数字を入力したり、画像の位置を合わせたりするものなのですが、ユーザーがログインするときには重宝するものの、管理者がログインするときには面倒で仕方ないですよね?何か対策はないか?を満たしてくれるのが「Login LockDown」プラグインです。

「Login LockDown」は同一のIPから○○分の間に○回ログインに失敗した場合○○分間ログイン処理を行うことを制限するプラグインです。

同じ用途のプラグインが多数リリースされていますが、時間設定や回数設定の変更が有料版でのみ行えるものが多いのですが、このプラグインは無料で調整が可能です。

【Login LockDown】プラグインの基本的な機能・できること

  1. 設定した時間内に多数のログイン失敗があった場合、ログイン処理を中断する
  2. ログイン失敗時に表示される「○○が違います」を表示しないようにする

この記事を参考にプラグインの導入をする際以下に留意ください

このプラグイン紹介記事は簡易的に動作テストをした上で紹介していますが以下の点にご注意願います
  1. すべての環境で動作するとは限りません
  2. できる限り最新のバージョンの情報を紹介するようにしておりますが、閲覧される時期によってはバージョンが変わり、仕様が大きく変更されている場合があります
  3. 有料版と無料版がある場合、テストは原則無料版のみで実施しています
  4. テスト環境については本文中に記載しています
  5. 使用方法で紹介しているショートコードやコードなどをコピーして使用すると、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「"」「'」などの記号を入力し直してみてください。

【Login LockDown】プラグインの設定画面や表示の日本語化と翻訳

【Login LockDown】プラグインは言語の変更に未対応ですので表示のまま設定することになります

【Login LockDown】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名で検索してインストールするか、ページ先頭の画像をクリックして表示されるWordpressのプラグイン公式配布ページがダウンロードしてからアップロードインストールします。

インストール方法の詳しい解説は

を参照ください

【Login LockDown】プラグインの基本的な使い方

簡単な英語で書かれていますがやっぱり日本語化できないのは不便・・・ということで設定方法を解説すると

ダッシュボートの「設定」→「Login LockDown」を開き、

  1. Max Login Retries/同一IPから何回ログイン失敗したら制限を行うかの数を設定します
  2. Retry Time Period Restriction (minutes)/ログイン画面が表示されてからログインするまでの時間を分単位で設定します
  3. Lockout Length (minutes)/ログイン失敗により制限されたIPから再度ログインが行えるようにするまでの時間を分単位で設定します
  4. Lockout Invalid Usernames?/ここにチェックを入れるとパスワードだけでなく「ユーザー名の相違」も失敗回数に含めるようになります
  5. Mask Login Errors?/ログインエラーの理由を非表示にすることができます
  6. Show Credit Link?/プラグイン作者へのリンクを表示するかどうかの設定です

要するに2の時間内に1で設定した回数ログインを失敗すると3の間同一IPからのログイン処理をできないようにするという動作をします。

ついでのように書かれていますが、よりセキュリティを上げるためには4のユーザー名を含めることも重要ですし、5のログインエラーの理由を表示しないようにすることも大事だと思います。

【Login LockDown】プラグインの便利な使い方・カスタマイズ方法など

より便利に使うカスタマイズ技やテストサイトで使用した結果や感想、Wordpressのプラグイン公式配布ページには書かれていない事柄などを紹介します。

よりセキュリティアップを図りたい方は

も併せてご覧ください。

いちばんやさしいWordPressの教本 第4版 5.x対応 人気講師が教 える本格Webサイトの作り方 (「いちばんやさしい教本」シリーズ)
インプレス
大きな画面の操作手順で迷わない。人気のテーマで、パソコン&スマホ両対応のWebサイトを作れる!ソーシャルメディアとの連携やSEO対策、バックアップなどの運用面も丁寧に解説。
※表示している価格は単行本のものです
参考価格:1,738
※参考価格です。サービスやショップ、掲載時期などにより価格は異なりますのでご注意ください

WordPressのカスタマイズ・不具合対応などご相談ください

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

【スポンサーリンク】