ブルートフォースアタックの記事を頻繁に目にするようになりましたので、今回は不正アクセス対策用のWordPressプラグインを少しばかりご紹介。
「adminという名前のユーザーをやめる」「パスワードは推測されにくいモノとし、且つ定期的に変更する」などの他の対策と合わせて、指定回数ログインに失敗するとロックをかける機能を持ったプラグインを入るのも効果的です。
わたしが過去に利用したプラグインはSimple Login LockdownとLogin Attempt Limitの2種有りますが、どちらもログイン試行回数を決めて、ログインに失敗した場合のロックアウト時間を設定することが主な機能ですが、微妙に設定方法や機能が異なる部分もあります。
今回はこの2つのプラグインの簡単な導入方法を紹介させていただきます。
(1)Simple Login Lockdown
管理画面のプラグイン新規追加画面よりSimple Login Lockdownを検索してインストールするか、以下よりプラグインファイルをダウンロードします。Simple Login Lockdown<
プラグインをインストールすると、管理画面の「表示設定」のページ内にSimple Login Lockdownの項目が追加されます。
Login Attempt Limitでログインの試行回数を「5」から「20」の間で設定変更できます。
Login Lockdown Timeでは、ログイン認証に失敗した後のロックアウト時間を設定できます。
「30分、60分、2時間、3時間、4時間、8時間、24時間」の中から選択できます。
設定はシンプルで分かりやすいですが、ログインの試行回数および、ロックアウト時間の選択肢が少ない印象です。
(2)Limit Login Attempts
続いてLimit Login Attemptsですが、こちらも管理画面のプラグイン新規追加画面よりインストールするか、以下のサイトよりプラグインファイルをダウンロードします。Limit Login Attempts
プラグインをインストール後、「設定」 > 「Limit Login Attempts」と進み、「Limit Login Attempts Settings」ページで各種設定を行います。
まずはサンプルを以下に紹介させていただきます。
Limit Login Attempts の基本設定
上記の図だと、・3回ログインに失敗するとロックアウトする。
・30分間ロックアウトされる。
・ロックアウトされた回数が3回に達すれば、今度は24時間ロックアウトされる。
・ログイン回数を12時間でリセットする。
という設定になります。・30分間ロックアウトされる。
・ロックアウトされた回数が3回に達すれば、今度は24時間ロックアウトされる。
・ログイン回数を12時間でリセットする。
Simple Login Lockdownと異なり、「Lockout」の欄では試行回数もロックアウト時間もテキストフォームですので、任意の数字を設定できます。
オプション
Limit Login Attemptsではロックされた回数を監視できたり、IPをログに残すことができるなど、機能面でも異なります。「Handle cookie login」では、クッキーに保存されたログイン情報でログインする場合はどうするか?を決めます。
「Notify on lockou」では、ロックされた場合の通知設定として「IPをログに保存」するか「メールで通知」するかを選択できます。
Simple Login LockdownとLimit Login Attemptsの比較
個人的な意見ですが、「監視やログ、通知機能を使いたい」場合はLimit Login Attempts
「シンプルな機能で充分」な場合はSimple Login Lockdown
こんなという感じででしょうか。「シンプルな機能で充分」な場合はSimple Login Lockdown
この手のプラグインを入れることで完全に不正アクセスを防げる訳ではありませんが、セキュリティ対策の一環として導入したいプラグインではないかと思います。
コメント