WordPressのユーザー名「admin」で管理画面へ不正アクセスされる事例が相次いでいるようです。
このような無理矢理認証を突破しようとする攻撃を防ぐのはなかなか難しいですが、「admin」のユーザー名を変更し、パスワードも推測されにくい強固なモノにするなどの方法に加え、指定回数ログインに失敗したIPアドレスを一定期間ロックアウトできるプラグインLimit Login Attemptsを導入すると良いかもしれません。
Limit Login Attempts のインストール
管理画面のプラグイン新規追加画面よりLimit Login Attempts を検索するか、以下のサイトよりプラグインファイルをダウンロードします。Limit Login Attempts
Limit Login Attempts の基本設定
管理画面の左メニュー「設定」から「Limit Login Attempts」ページへ移動し、ログイン回数やロックアウト時間、ログイン回数をリセットする時間などを設定します。
例えば上の図ではあれば、
・ログイン(リトライ)を5 回失敗すると
・1 時間ロックアウトし、
・ロックアウト回数が 5 回を超えれば、ロックアウト時間を 24 時間まで拡大し、
・24 時間でリトライ回数をリセットする。
という感じです。・1 時間ロックアウトし、
・ロックアウト回数が 5 回を超えれば、ロックアウト時間を 24 時間まで拡大し、
・24 時間でリトライ回数をリセットする。
Limit Login Attempts の通知設定
「Log IP」にチェックを入れることで、IPアドレスでログを残します。
また、「Email to admin after n lockouts」にチェックと数値を入れることで、指定回数ロックアウトされた段階で管理者にメールを通知することができます。
コメント