Loginizer:ログイン画面でのパスワード入力に試行回数を設定できる
時々ニュースに出てくる「ブルートフォースアタック」
暗号や暗証番号などで理論的にありうるパターン全てを入力し解読する暗号解読法。
総当たり攻撃 – Wikipedia
https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83
簡単に言うとよく使われるユーザー ID と パスワードの組み合わせを手当たり次第に入力して、本人になりすましてログインしようと試みる行為です。
WordPress 標準のログイン機能だと無制限にパスワードを入力してログインを試せます。
「ブルートフォースアタック」を未然に防ぐには、
ログイン時のパスワード入力に最大再試行回数を設定するのが一番簡単です。
そのような時に便利な WordPress 用プラグインがあります。
それは「Loginizer」です。
そのインストール手順から日本語化・使い方と設定などを解説していきます。
Loginizer
Loginizer は、ログイン時のパスワード入力に最大再試行回数を設定することができます。
最大再試行回数を超えた場合には、一定時間ログイン操作を禁止することができます。
ログイン操作を禁止された回数が一定回数に達した場合にも別途一定時間操作を禁止することもできます。
一定回数失敗したアクセスがある場合にメールで通知させることもできます。
ログインに失敗した IP アドレスは、日時などともにログとして自動的に保存してくれます。
また、事前に IP アドレスをホワイトリストもしくはブラックボックスに登録しておくこともできます。
記事を作成もしくは更新時点でのバージョン:v 1.3.9
マルチサイトでの利用:可
インストール手順
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化するか
Loginizer – WordPress.org
もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面から入手できます。
ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「Loginizer」と入力します。
検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
インストールが完了したら、プラグインを「有効化」します。
プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。
WordPressプラグインのインストール手順を解説 – WordPress活用術
使い方
Loginizer を有効化すると自動的に初期設定もしてくれるので、
基本的には、ユーザーが何もする必要は無いです。
設定画面から設定値を変更することもできます。
ログインに失敗するとエラーメッセージとともに残りの試行回数が表示されます。
最大試行回数に達するとワーニングメッセージが表示されて、
一定時間ログイン操作が禁止されます。
設定(Brute Force Settings)
ダッシュボードの「設定」メニューの下に「Loginizer Security」が追加されています。
サブメニューの「Brute Force」を選択します。
Failed Login Attempts Logs
24 時間以内にログインに失敗したアクセスが存在する場合には、
アクセスしてきた IP アドレスを日時とともに自動的に表示してくれます。
後述のブラックリスト設定の参考になるでしょう。
Brute Force Settings
- Max Retries
最大試行回数
初期値:3 回 - Lockout Time
最大試行回数に達した場合のログイン操作禁止時間
初期値:15 分間 - Max Lockouts
最大ロック回数
初期値:5 回 - Extend Lockout
最大ロック回数に達した場合のログイン操作禁止時間
初期値:24 時間 - Reset Retries
再試行回数をリセットするまでの期間
初期値:24 時間 - Email Notification
メール通知条件
初期値:メール通知しない
Blacklist IP
ブラックリストとして登録したい IP アドレスを登録することができます。
Whitelist IP
ブラックリストとは、逆にホワイトリストとして登録したい IP アドレスを登録することができます。