ブルートフォースアタック対策「Simple Login Lockdown」の使い方

About WordPress

WordPress のログインページに悪意をもったユーザーがアクセスをして、ログインを試みたときに、任意で設定した回数分ログインを失敗したらその IP アドレスからは暫くアクセスができないようにできる便利なプラグインがあります。

今回はブルートフォースアタック対策「Simple Login Lockdown」の使い方をメモします。

ブルートフォースアタックとは

ログインページから不正アクセスをするために、ユーザー名やパスワードを総当たりでログインできるまで何度も試すやりくちを「ブルートフォースアタック」と言います。

これを防ぐためには、「ログインに10回失敗たら、その IP アドレスからは1時間ログインページにはアクセスできない」のような対策を施す必要があります。

プラグイン Simple Login Lockdown

WordPress プラグインの新規追加で「Simple Login Lockdown」を貼り付けて検索します。なぜか一番上には出てきませんが、スクロールするとあります。

これをインストールして有効化します。

Simple Login Lockdown の設定方法

Simple Login Lockdown 設定方法

設定 → 表示設定の中に Simple Login Lockdown の設定項目があります。

  • Login Attempt Limit ・・・ログイン情報の入力を何回まで失敗できるかの回数
  • Login Lockdown Time ・・・ログイン失敗回数オーバー後の復帰までの時間

画像の例なら「ログイン失敗を10回繰り返したら、その IP アドレスからは 60分間ログインページにはアクセスできなくなる」という設定になっています。

あとがき

ブルートフォースアタックのように、無制限の総当たりでパスワードを入力されればいつかはログインされてしまいます。

しかし、ログイン失敗回数が決まっていて、その後のペナルティがあれば悪意のユーザーも諦めます。回数ためせないんですからね。

結構効果ありますよ。これ。