ログインの試行回数を制限して不正ログインを防止できるセキュリティプラグイン【Limit Login Attempts】

sponsored link

ログインに複数回失敗したユーザーのIPアドレスに対して、一定時間ログインできないようにロックをかけます。

所謂、パスワード総当り攻撃(ブルートフォースアタック)による不正ログインを防止するプラグインです。

とりあえず、ワードプレスユーザなら必ずこの攻撃に対して何らかの対策はしておくべきで、その方法の一つがこのプラグインの導入です。

他にもいくつか類似のプラグインがあるようですが、これが一番有名です。

パスワード総当り攻撃(ブルートフォースアタック)とは?

「ブルータスお前もか!」ではありません。そんな事考えるのは自分だけでしょうOrz

今やしょっちゅうこの話題を見かけるので説明するまでもないかもしれません。

「ブルートフォースアタック」だと始めて聞く人は何だそれ?となりますが、「パスワード総当り攻撃」と言う名前の通りです。

あらゆる文字の組み合わせて侵入を試みてくる攻撃で、認証失敗回数が制限されていない限り無限にアタックして来るため、いつかはパスワードが解析されてしまいます。

一見効率の悪い方法に思われるけれど、短いパスワードや数字だけのものはあっという間に解読されてしまうそうです。

効果はあるの?

一度設定してログを見るとわかるのですが、攻撃をしてくるIPは一定期間複数の同じIPを使っているようです。

Botなので恒久的な対応はできないのですが、プラグインで一定回数ログインに失敗したIPのログイン制限をしていけば、無限にアタックされ続けるということはなくなるようです。

ということで、これを入れておけば大丈夫とは言えないまでも、かなり効果はありそうなので入れておいて損はありません。逆に言えば、対策をしないとずっと相手のターンです(笑)

裏で常にログイン突破の攻撃されていると考えたらかなり気持ち悪いです。

ちなみに、同じようにログを参照していると、ほとんどのアタックが「admin」とか「user」とかよく使われそうなIDばかりです。

ワードプレスのIDを「admin」にするような不注意な人はそんなにいないと思いますが、「あっ」と思った人は必ずユーザー名を変更しましょう。

どちらかと言うと、テスト的に入れたワードプレスサイトでやられることの方が多いようです。

IDやパスワードを簡単なものにしていたり、ワードプレスやプラグインの更新をせずに放置して脆弱性が高くなりやすいので、使わないサイトも削除するかしっかりメンテナンスする必要があります。

インストールと使い方

WordPressの管理画面から、「プラグイン」>「新規追加」>「検索」で【Limit Login Attempts】を検索してプラグインをインストールします。

管理画面>「設定」に「Limit Login Attempts」の項目が追加されていますので、そこから設定が行えます。

詳細設定

limit_login_attempts

項目1 項目2 説明
Total lockouts 前回のログのリセットから現在までのロックアウト回数
Lockout ロックアウトの回数設定
allowed retries リトライ制限回数
minutes lockout ロックする時間(分単位)
lockouts increase lockout time to hours 二段階ロックの時間(時間単位)
hours until retries are reset リトライ回数のリセット時間(時間単位)
Site connection サイト接続設定
Handle cookie login クッキー設定
Notify on lockout ロックアウトの通知
Log IP ロックされたIPの記録
Email to admin after lockouts メール通知

ロック設定

基本的にやるのはここの調整くらいです。

「allowed retries」「minutes lockout」でリトライできる回数とロック時間(分単位)を設定。

「lockouts increase lockout time to hours」は、上記の「ロック」が〇〇数になった場合に、さらに〇〇時間(時間単位)のロックを設定します。

「hours until retries are reset 」はリトライのリセット時間(時間単位)です。

ポイントとしては、リトライ数とロック時間をあまり厳しくしすぎると、自分でロックされるという間抜けなことになるので注意です。(そうなった場合、データベースのログを消すなり更新するなりでリセットできるようです。)

まあ、デフォルトはちょっと短い気がするので、それよりも長めの方がよいかもしれません。

ログ設定

ログは残したほうが後で色々見ることができます。ずっと放置ならなくても良いかもしれません。

メール設定はONにしておくと、突然の大規模攻撃があった時に気づくことができます。

気づいたから何かできるってわけでもないですが、どのくらい狙われているのかというのはリアルタイムで把握しておいたほうがよいのではないかと思います。

ただし、大量のメールが来るのでそこは注意。最初はどれだけやられてるか把握するのに便利です。

その他

基本的にはデフォルトで大丈夫です。プロキシを使って接続している場合はそちらを選ぶようです。(あまり他人の環境はわかりませんorz)

ログイン画面

limit_login_attempts_login

ログイン画面では、ログインに失敗すると画像のようにエラーメッセージと残りの試行可能回数が表示されます。

ログ

limit_login_attempts_log

ログを残す設定にした場合、設定画面の下にロックアウトされたIPが記録されていきます。

このログを見て【WP-Ban】などのプラグインでIPごとブロックしてしまうこともできますが、botは一定間隔で新しいIPで攻撃してくるため、いたちごっこになるだけなのでそこまでする意味はないかもしれません。

マルチサイトの設定

サイトごとに設定を行います。

あとがき

個人的にWebサイト運営歴はそこそこ長いので様々なサーバーを利用してきましたが、狙われやすいサーバーというのはあります。これは、ハッキングだけでなくコメントスパムなども同様です。

基本的には知名度が高く利用者が多い。ITリタラシーの低い、ビギナーの利用者が多いサーバが狙われやすいようです。あくまで傾向です。後は、サーバーのセキュリティ設定に脆弱性が発見されたり、運営に穴がありそうなところです。

ロリポップの大規模アタックは記憶に新しいところですが、猛攻があった以前は一日に1000件近くのメールが毎日飛んできていました。(5リトライの1ロックアウトのメール通知設定)今でも一日に数十件はメールが来ています。

botは海外サーバーから来ていますので、「海外IPアドレスからの接続制限」が設定できるサーバーならセキュリティは格段に上がります。(海外向けサイトを運営している場合は難しいですが。)

まぁ、詳しい人は自分で「htaccess」で設定できますが、サーバーの設定で簡単にできるところは楽です。

評判の高いXサーバー系列もそうした設定ができます(無効にもできます)ので、総当り攻撃がうざい人にもお勧めです。
wpXレンタルサーバー

sponsored link

コメントを残す

メールアドレスが公開されることはありません。