ログインのセキュリティ対策は、銀行口座やクレジットカードに限ったものではありません。手塩にかけて育てたWordPressサイトも大切な「資産」であり、自ら守らなければならないものです。
悪意のある者の不正ログインやブルートフォースアタック(総当り解除攻撃)からWordPressサイトを守ってくれるプラグインが、Login LockDownです。
使い方や、うっかりロックの解除方法を説明します。
Login LockDownの使い方
この記事はLogin LockDownをインストールして有効化させた状態から、使い方の手順を説明していきます。
プラグインのインストール方法については、こちらの記事を参考にしてみてください。
Login LockDownの設定
管理画面の左側メニュー「設定」からLogin LockDownで設定画面に進みます。
あらかじめ最適化されているので、デフォルトのままでも問題ありません。ただセキュリティ対策は、僕もかなり重要視している点なので、設定項目を説明しておきます。
【Max Login Retries】
何回までログインを試行できるか
何回間違うとロックがかかるか
【Retry Time Period Restriction (minutes)】
ログイン試行を何分間でリセットするか
【Lockout Length (minutes)】
ロックを何分間で解除するか
【Lockout Invalid Usernames?】
IDミスも間違いの対象にするか
NOだとパスワードミスだけが対象になる
【Mask Login Errors?】
IDとパスワードのどちらが間違ったのかは隠すか
NOだとどちらかの間違いかが表示される
【Show Credit Link?】
Login LockDownを使用していることを表示するか
表示させることで、手動に対しての抑止力が期待できる
試行回数を少なく、リセット時間や待機時間を長くすることで厳しくすることが可能ですね。
Update Settingsで保存しましょう。
Login LockDownを実装させた画面
ログインを間違うと、このようなエラー画面になります。本人の場合は、リンクからパスワードの再取得が可能です。
そして指定した回数ログインを間違うとロックがかかります。指定した時間を待機した後に、改めてログインを試行できるようになります。
もちろん待機時間は表示されません。
管理者なら強引に解除することも可能
ロックがかかった際に、緊急でログインしなければならない時もあると思います。その場合サイト管理者であれば、内部からロックを解除することが出来ます。
FFTPソフトなどでサーバーに接続し、Login LockDownのフォルダに入ります。そして、フォルダ内のlogin-lockdown.phpのファイル名を適当に変更します。
こうすることでLogin LockDownを無効化させられますので、この後すぐにログインを試行する(パスワードを再取得する)ことが出来るようになります。
ログイン後、変更したファイル名を元に直しても、もうLogin LockDownは正常に動作しません。削除して、改めてインストールし有効化させましょう。
かんたんな設定でセキュリティが飛躍的に上がります。大切なWordPressサイトを守るためにも、Login LockDownは必ず導入しておきましょう。
コメントを残す