ワードプレスを運営していると知らない誰かがログインした形跡があったり、知らないうちに突然自分のブログが書き換えられていたりすることがあります。
資産として作っているブログが乗っ取られてしまうと大変です。
このような危険を防ぐためにもワードプレスのログイン試行回数を制御しておくと安心です。
今回はログイン制限ができる「Limit Login Attempts Reloaded」というプラグインの設定方法と使い方について解説します。
Limit Login Attempts Reloadedとは?何ができるの?
WordPressを運営していると海外からの異常アクセスに悩まされることがあります。
ワードプレスのログイン画面って「https://・・・/wp-login.php」なので、URLさえわかればログイン画面を見つけるのは簡単なんですね。
ブルートフォースアタックと言われる総攻撃(ログインIDとログインパスワードを全て試す)が行われると、時間の問題で乗っ取られてしまいます。
海外から異常アクセスがある場合はだいたいこれです。
これを防ぐためには、同一IPからのログイン試行回数を制限しておくのが一番の解決策になります。
Limit Login Attempts Reloadedを使えばそれが簡単にできるというわけですね。
プラグインを有効化するだけでも基本的な機能が使えるので、よくわからない場合は有効化だけでもOKです。
Limit Login Attempts Reloadedをインストールしよう
ワードプレス管理画面の左サイドバーにある①「プラグイン」⇒②「新規追加」をクリックします↑
③の検索窓に「Limit Login Attempts Reloaded」を入力し、出てきたLimit Login Attempts Reloadedの④「今すぐインストール」をクリックしてください↑
少し待つと上の画像のように「今すぐインストール」が「有効化」に代わります。有効化をクリックします↑
難しいことはよくわからないという人は、これだけでも十分セキュリティが上がるのでここまででもOKです。
もう少し細かく設定したい人は以下を読み進めてください。
Limit Login Attempts Reloadedの設定方法と使い方
左サイドバーの①「設定」⇒②「Limit Login Attempts Reloaded」をクリックします↑
Lockout
ここでログイン回数やロックの時間などを設定します。
①4回ログインに失敗したらロックするという設定
②一度ロックされたら20分間ロックするという設定
③連続して4回ロックした場合、24時間ロックするという設定
④12時間で試行回数がリセットされるという設定(2回失敗してそのあと成功しても、2回失敗したという記録は残っている。それを何時間でリセットするか)
基本設定のままでも問題ありませんが、こだわりがある人は変更してください。
Notify on lockout
ログインに失敗してロックした場合、どういう方法で知らせるかという設定です。
⑤ログに残す方法。ログは「Limit Login Attempts Reloaded」の設定画面の下の方に記載されます。
⑥Eメールで知らせる方法です。上の画面だと4回ロックしたら知らせることになっています。
チェックを入れると、その方法で知らせてくれます。
僕の場合は、「Limit Login Attempts Reloaded」を入れていて乗っ取られたことはないので、ログを残す方だけチェックを入れています。
Whitelist(ホワイトリスト)とBlacklist(ブラックリスト)
ホワイトリストの方にIPを記入すれば、そのIPは何度ログイン試行してもロックされることはなくなります。
ブラックリストの方にIPを記入すれば、そのIPからはログイン試行自体ができなくなります。
自分のミスでロックされるのは面倒なので、ホワイトリストの方に自分のIPを記入しておくと安全です。
自分のIPの確認にはIP確認くんが便利です。
まとめ:有効化しておくだけで使えるので便利
Limit Login Attempts Reloadedは有効化しておくだけで使えますし、設定も簡単ですよね。
乗っ取られてログイン情報を変更されたらかなり面倒です。
簡単なのでとりあえずやっておくことをおすすめします。