PR WordPress

Widget logic teamから通知!WPプラグインLimit Login Attempts Reloadedの設定

Wordpressに来た「Widget Logicチームのセキュリティの推奨事項」

先日、僕のWordpressのログイン後の画面にメッセージがやってきました。上がその画像です。

英語表記です。下に書きだしてみました。

Widget Logic team security recommendatiion: It appears your site might NOT be currently protected against login attacks.

This is the most common reason adimin login agets compromised.

Wehighly recommend installing Limit Login Attempts Reloaded plugin to immediately prevent this. →Install

とても気になるメッセージなので翻訳してみました。

 

Widget Logicチームのセキュリティの推奨事項:あなたのサイトは現在、ログイン攻撃から保護されていない可能性があります。

これは、Adminのログインが危険にさらされる最も一般的な理由です。

「Limit Login Attempts Reloaded」プラグインをインストールすることをお勧めします

この翻訳を読んだ時にピンときました。最近WordPressで、海外から手当たり次第にログインしようとアタックを試みる人(或いは団体組織)があるようです。

これが手動では無くて、自動的に連続ログインを試みるので、簡単なパスワードだと最終的に突破されることがあるそうです。

確かにIDはドメイン名を使用している人も多いので、パスワードだけを突破されたら終わりですからね。そんな情報があることを最近耳にしていたいので、これなのかなとわかりました。

僕は複数のサイトを運営していますが、この通知が来たのが1サイトのみ。ということはもしかしたらこの通知が来たサイトだけ攻撃されていたのかもしれません。

急に心配になり、早速「Limit Login Attempts Reloaded」というプラグインを入れてみることにしました。

スポンサーリンク

WPプラグイン「Limit Login Attempts Reloaded」とは?

WPプラグイン「Limit Login Attempts Reloaded」インストール画面

WordPressプラグイン「Limit Login Attempts Reloaded」とは、手当たり次第にログインを試みる人や団体がいるので、WordPressのログインの試行回数(失敗する回数)を制御することができるプラグインです。

ログインに何度か失敗すると、一定の時間のログインができなくなります。当然自分でログインする場合は失敗することは無いので大丈夫ですね。

なので早速導入してみました。設定変更することで、ログインを失敗する回数ロック解除時間も設定変更できます。

 

スポンサーリンク

「Limit Login Attempts Reloaded」インストール

「Limit Login Attempts Reloaded」インストール

まずはワードプレスのダッシュボードの[プラグイン]をクリックし、プラグインの[新規追加]を選択します。

 

WordPressプラグインの新規検索

するとプラグインの追加がでます。キーワードに「Limit Login Attempts Reloaded」と入力しましょう。自動的に検索されます。

 

WPプラグイン「Limit Login Attempts Reloaded」インストール画面

「Limit Login Attempts Reloaded」が表示されました。「今すぐインストール」をクリックし、完了すると「有効」にしましょう。

 

「Limit Login Attempts Reloaded」設定方法

ダッシュボードの[設定]に「Limit Login Attempts」が追加されているので、それをクリックしましょう。

「Limit Login attempts」設定画面

「Limit Login Attempts Settings」という、とてもシンプルな設定画面が出てきます。

まず「Total lockouts」というのはロックされた回数、「No lockouts yet」とあれば「まだロックされていない」という意味です。

次にロックアウトのオプション設定があります。

 

  • 4 allowed retries:リトライを許可する回数
  • 20 minutes lockout:何分ロックするのか
  • 4 lockouts increase lockout time to 24 hours:4回ロックされたら、24時間ロックする
  • 12 hours until retries are reset:リトライをリセットする時間

時間や回数の設定変更ができます。僕は基本的に変更していませんが、一番上の回数を1~2回に減らしてもいいかもしれません。

最後にNotify on lockout(ロックの通知)があり、IPログに書き込むか、管理やメールに通知と出てきます。

  • Lockout log:IPログに書き込む
  • Email to admin after 4 lockouts:4回ロックされると管理者にメール通知

2つ目ののメール通知にチェックを入れました。デフォルトの回数は4回ですが、1~2回に設定した方がいいですね。

変更後は「Change Options(設定を変更)」をクリックし、保存しましょう。

 

まとめ

自動的にWordpressのログインを試みようとするのを防ぐために、プラグイン「Limit Login Attempts Reloaded」のインストールと設定方法をご紹介しました。

設定が完了すると、自分でわざとログインに失敗して、メールが来るのかを確認してください。これで正しく作動しているかチェックできます。

何もなければそれでよし、もしあれば用心に越したことはないですからね。僕の場合は通知が来たので入れましたが、来る前のサイトでも設定しておくのが良いかと思います。

WPプラグイン」でサイト内検索してみる

IT便利帳のSNSをフォローする

-WordPress
-