WordPressをインストールしたばかりの状態はセキュリティ的に強くありません。

そのため、セキュリティをまず最低限のレベルまで上げておく必要があります。

ログインページへのアクセスに制限をかける

WordPressにログインしていない状態で「http://あなたのドメイン.com/wp-admin」、もしくはhttp://あなたのドメイン.com/wp-login.php」というアドレスにアクセスすると、あなたのログインページに辿りつきます。

security_01

WordPressは世界的に使われていますから、ハッカーは自動徘徊のプログラムを作って、WordPressのログインページを世界中のインターネットページから自動的に探し出して、ランダムにユーザー名とパスワードを何万回も入れてログインを試し、ログインできそうなページを探しているのです。

こういう自動攻撃のことをブルートフォースアタック(Brute Force Attack)と呼びます。Brute Forceとは「力づくで」という意味をもち、その名の通り力づくでパスワードを取得する攻撃のことを指します。

これらのブルートフォースアタックを止めさせるためにはログイン試行回数に制限をかけていきます。

Limit Login Attemptsのインストール方法

私はプラグインを使ってログイン試行回数に制限をかけていきます。

プラグインの名前は「Limit Login Attempts」です。

lla_01

PluginsからAdd Newにいき、Searchボックスの中に「Limit Login Attempts」と入れ、Search Pluginsボタンを押します。

lla_02

出てきた検索結果の中から「Limit Login Attempts」を探し、Install Nowを押します。ブラウザーからインストールして良いか聞かれるので、「OK」を押してください。

lla_04

「Limit Login Attempts」がインストールされます。インストールが完了したら「Activate Plugin」をクリックしてください。

lla_05

プラグインが有効化されます。

Limit Login Attemptsの設定方法

設定していきたいので、Settingsから「Limit Login Attempts」を選択してください。設定画面が表示されたら、設定項目を変更していきます。私は思いっきり絞っていきたいので、下記のように設定を変更します。ロックアウトされたら24時間は待たないといけなくなりますので、自動プログラムが効かなくなるのです。

  • 4 allowed retries(リトライは4回まで許可する)
  • 60 minutes lockout(ロックアウトされたら60分の待ち時間を作る。下記の設定でロックアウト1回でロックアウト時間を24時間にしてしまうので、ここでの設定はあまり意味がない。)
  • 1 lockouts increase lockout time to 24 hours(1回ロックアウトされたらロックアウト時間を24時間にする)
  • 24 hours until retries are reset(リトライは24時間でリセットされる)
  • Email to admin after 1 lockout(ロックアウト1回あったらアドミンにメールを送る)
lla_06
lla_07

終わったら「Change Options」をクリックします。設定が変更されました。

ロックアウトがあった際に届くメール

ロックアウトされるとこのようなメールが届きます。

email_01

adminというユーザー名でログイン試行してきているのが分かりますね。どれだけ多くの人がadminというユーザー名を管理者名にしているかが分かりますね。

まとめ

私はWordPressをインストールしたら一番最初にこのプラグインを入れます。これを入れておかないと、ブルートフォースアタックにやられる可能性が高まり、最悪の場合はサイトを乗っ取られる可能性があるからです。

これを入れて、まずは連続してログイン試行をさせない設定にする必要があるのです。