ログインの試行回数を制限できるプラグイン – Limit Login Attempts –
wordpressのログイン認証に複数回失敗すると、一定時間ログインできないようにするプラグイン。
wordpressは攻撃対象に合いやすいのでブルートフォースアタックなどの不正アクセスを防止できます。
プラグイン名:Limit Login Attempts
プラグインダウンロードURL:https://wordpress.org/plugins/limit-login-attempts/
プラグインの特徴
- ログインの試行回数を設定できる
設定の手順
- プラグインを下記のURLからダウンロードして頂きます。
URL:https://wordpress.org/plugins/limit-login-attempts/ - FTPでWordPressプラグインのフォルダにアップロード
http://www.○○○○○○○○○○○○.com/wp-content/plugins/ - WordPressのダッシュボードからプラグインメニューを選択しLimit Login Attemptsを有効化すると、設定メニューの中にLimit Login Attemptsの項目が追加される。
プラグインの使い方
[設定] – [Limit Login Attempts]から設定ができます。
設定
- Lockout
- ログイン試行回数や、ロックする時間などが設定できます。
上から「ログインのリトライ回数(1回目)」「ロックする時間(分)」「2回目のログインリトライ回数」「2回目のロックする時間(時)」「リトライ数のリセット時間(時)」 - Site connection
- サイト接続設定
- Handle cookie login
- クッキー設定
- Nofity on lockout
- 通知設定
「Log IP」ログインエラーしたIPアドレスを記録する
「Email to admin after ■ lockouts」指定した回数ロックされたIPを管理者にメールで知らせる。
基本的には[Lockout]の項目の設定だけすればOKです。
実際に間違えてみました。
「3 attempts remaining.」と残り3回の試行ができますといった内容が表示されています。
3回間違えると…
1回目のロックなので20分間ログインができなくなりました。
IPでのロックになっておりますので、この状態で正しいIDとパスワードを入力してもログインはできません。
不正ログインなどの防御になるのですが、管理者の場合もIDとパスワードを打ち間違える事でログイン試行回数に引っかかってしまいますので、導入の際は打ち間違えがないように注意する必要があります。