WordPressのカスタマイズ方法やプラグインレビューを中心に、パソコン/動物/植物のことなどを紹介するホームページです
Security plug-in "Login LockDown" that limits the number of login attempts within a certain period of time

一定の時間内でのログイン試行回数を制限するセキュリティプラグイン「Login LockDown」

公開日:2016年11月27日 セキュリティ

WordPressで会員制サイトなどを作り、たくさんのユーザーからログインされるようなサイトを運営する際のログインセキュリティ対策はどうしていますか?

また、単純にユーザー名やパスワードを忘れてログインの失敗が続く場合ではなく、適当なユーザー名やパスワードを使ってログイン試行を行う「ブルートフォースアタック」の標的になっていませんか?

単純なミスによる試行に関しては仕方ないとしても、悪意を持って短時間に不正ログイン処理を繰り返されると、少なからずサーバーに負担がかかり、最悪の場合はサーバーがハングアップしてしまう、高負荷によりアカウントが停止され、せっかく作ったサイトが凍結されてしまうということもあります。

対策として一般的なのは「capcha認証」。出てきた数字を入力したり、画像の位置を合わせたりするものなのですが、ユーザーがログインするときには重宝するものの、管理者がログインするときには面倒で仕方ないですよね?何か対策はないか?を満たしてくれるのが「Login LockDown」プラグインです。

「Login LockDown」は同一のIPから○○分の間に○回ログインに失敗した場合○○分間ログイン処理を行うことを制限するプラグインです。

同じ用途のプラグインが多数リリースされていますが、時間設定や回数設定の変更が有料版でのみ行えるものが多いのですが、このプラグインは無料で調整が可能です。

【Login LockDown】プラグインの基本的な機能・できること

  1. 設定した時間内に多数のログイン失敗があった場合、ログイン処理を中断する
  2. ログイン失敗時に表示される「○○が違います」を表示しないようにする

本記事を参考にWordPressサイトへプラグインの導入を検討される方へ

WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。

  • テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
    ※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能などが異なる場合があります。
    ※また、ページによってはテスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。
  • プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
  • このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
  • プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)

【Login LockDown】プラグインの設定画面や表示の日本語化と翻訳

【Login LockDown】プラグインは言語の変更に未対応ですので表示のまま設定することになります

【Login LockDown】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、ページ先頭の画像をクリックして表示されるWordPressのプラグイン公式配布ページがダウンロード後、管理画面からアップロードインストールしてください。

WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。

【Login LockDown】プラグインの基本的な使い方

簡単な英語で書かれていますがやっぱり日本語化できないのは不便・・・ということで設定方法を解説すると

ダッシュボートの「設定」→「Login LockDown」を開き、

  1. Max Login Retries/同一IPから何回ログイン失敗したら制限を行うかの数を設定します
  2. Retry Time Period Restriction (minutes)/ログイン画面が表示されてからログインするまでの時間を分単位で設定します
  3. Lockout Length (minutes)/ログイン失敗により制限されたIPから再度ログインが行えるようにするまでの時間を分単位で設定します
  4. Lockout Invalid Usernames?/ここにチェックを入れるとパスワードだけでなく「ユーザー名の相違」も失敗回数に含めるようになります
  5. Mask Login Errors?/ログインエラーの理由を非表示にすることができます
  6. Show Credit Link?/プラグイン作者へのリンクを表示するかどうかの設定です

要するに2の時間内に1で設定した回数ログインを失敗すると3の間同一IPからのログイン処理をできないようにするという動作をします。

ついでのように書かれていますが、よりセキュリティを上げるためには4のユーザー名を含めることも重要ですし、5のログインエラーの理由を表示しないようにすることも大事だと思います。

【Login LockDown】プラグインの便利な使い方・カスタマイズ方法など

より便利に使うカスタマイズ技やテストサイトで使用した結果や感想、WordPressのプラグイン公式配布ページには書かれていない事柄などを紹介します。

よりセキュリティアップを図りたい方は

も併せてご覧ください。

WordPressのカスタマイズ・不具合対応などご相談ください

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。