メルです。
先日紹介したこちらのプラグイン Crazy Bone のログを見ていると、
大規模ではありませんが、やはり定期的にブルートフォースアタックを
かけられているようですね~。
ユーザー名をadmin、admなどで決め打ちしてパスワードに総当りを
かけているので被害に会うことはありませんが、そもそも無駄なリソースを
使われている事に変わりはありません。
と言うのは、ツールを使ったアクセスであっても、
その度にWordPressが起動していますので、アクセスの度に負荷がかかります。
例えば、不正アクセスを試みる回数が急増した場合、
無駄にサイトが重くなったり、過度の総当りを仕掛けられれば、
サーバーがダウンする可能性すらあります。
そこで今回紹介するのが、Login LockDown というプラグイン。
○分以内に○回以上ログインに失敗したIPアドレスを○分間ブロックする
と言うような事ができるようになります。
これならbotなどで総当たり攻撃をかけられても、ロックするので、安心です。
WordPressプラグイン Login LockDown
Login LockDownは、
ログイン試行回数の制限などができるようになるWordPressプラグイン。
ログイン失敗時のエラーメッセージを隠す事でセキュリティを高める事もできる。
Login LockDownのインストール方法
管理画面左メニューの、
プラグイン → 新規追加 に移動し、Login LockDownで検索します。
Login LockDownを見つけたら「いますぐインストール」をクリック。
インストールが完了したらプラグインを有効にしてください。
Login LockDownの設定
インストールが完了し、有効化したら、
左メニュー → 設定 → Login LockDown をクリック。
こちらが設定画面、Login LockDown Options
上図は、
5分間の間に3回ログイン失敗したら、
その失敗したIPアドレスは60分間アクセスブロックします
という設定です。
Max Login Retries
ログインを試せる回数の上限
Retry Time Period Restriction
ログイン失敗回数がリセットされるまでの時間
Lockout Length
ログイン制限を受けた場合、次にログインできるようになるまでの時間
Lockout Invalid Usernames
ユーザー名の失敗もログイン制限にカウントするかどうか
Mask Login Errors
ログインエラー時のメッセージをセキュリティの高いものにするか
Currently Locked Out
ログイン制限中のIPアドレスの一覧が表示される
どういう設定にしたら良いかわからない方は
上図の設定と同じにするれば良いです。
設定を変更したら「UpdateSettings」ボタンを押して
更新するのを忘れないようにしてください。
Mask Login Errorsについて
Mask Login Errorsは、管理画面にログイン失敗した時の
エラーメッセージを隠します。
WordPressの管理画面では、
ログイン失敗した時に表示されるエラーメッセージで
ユーザー名がダメなのか、パスワードがダメなのか、
わかってしまいます。
▼ユーザー名が間違っている場合
▼ユーザー名は合っているがパスワードが間違っている場合
Mask Login ErrorsをYesに設定することで
これを隠す事ができますので、セキュリティが
より強固になりますのでこの機能は有効にする事をお勧めします。
ネットビジネス速報メールマガジン
メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。
Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。