コラム(WEB制作のポイント)

WEB制作のポイント 2015年3月31日

WordPressへのログインアタックを一発で撃退するプラグイン

WordPressへのログインアタックを撃退

WordPressをCMSとして採用されている人にとって気がかりなのは、普及率が高いことによるハッキングの多さだ。更新を重ねて、やっと満足できるアクセスが稼げるようになった矢先に、知らない間にハッキングされて、マルウェアを訪問者にまき散らしていた・・・などという事態だけは避けたい。

ハッキング対策を突き詰めて考えると、心配で寝られなくなってしまうので、ハッキングのなかでもとくに注意したい「ログインアタック」対策についてプラグイン「Limit Login Attempts」を紹介しよう。

WordPressはカスタマイズに関する情報がネット上に豊富にあり、ありとあらゆる便利なプラグインが無料で入手できることから、世界的に人気がある。CMSとしても多くのWEBサイトで活用されており、ハッカーたちは無数に攻撃対象を持っていることになるのだ。

彼らは無作為に攻撃を仕掛け、WordPressのセキュリティホールをついてハッキングしようと執拗にアタックを仕掛けてくる。

この記事では、ログインアタックを一発で撃退するプラグイン「Limit Login Attempts」の導入方法を日本語化を含めて紹介していく。あなたも早く「安心」を手に入れ、訪問者に有益な記事をしっかり読んでもらえる環境を整えよう。

ハッキングは空き巣と同じ。居住者の自己責任で対策を打つべし

ハッキングは空き巣と同じ

「サーバー会社が、守ってくれてるでしょ?」

いったい誰がそのような都市伝説を流したのだろうか。
嘘だと思うなら、サーバー会社に問い合わせればいい。「自己責任で」という回答に愕然とするだけだ。

レンタルサーバーは、住居と同じ。誰も空き巣からあなたを守ってはくれない。
空き巣からあなたの家を守るために、セキュリティ会社と契約したり、人感センサー付きのライトを付けたり、カギを特殊なものに付け替えたりするのと同じく、WEBサイトにもハッキング対策が必要なのだ。

ほとんどのWEBサイトは、アタックを受けている

うちのサイトはアクセスも少ないし、個人情報を扱っているわけでもないので大丈夫、なんて考えていたら大間違いだ。あなたのWEBサイトのアクセスログをぜひ確認してみてほしい(できれば今後定期的に確認することをお勧めする)。

そこには必ず、ハッカーたちが攻撃を試みた痕跡が残されている。
下の画像が、ログインアタックを仕掛けられた痕跡を示すアクセスログの一部だ。

特徴としては、同じIPアドレスから短時間にログイン画面(wp-login.php)へのアクセスが記録されていることだ。「POST」と記録されており、機械的に多様なログインIDとパスワードを打ち込んでいることがわかる。一般に「ブルートフォースアタック(Brute Force Attack)」と言われる「パスワード総当たり」攻撃がこれだ。

直近のアクセスログに痕跡がなくても、過去数ヵ月間を調べれば必ず出てくる。アタック対策は、WordPress利用者の必要条件なのだ。

ログインアタックの痕跡

プラグイン「Limit Login Attempts」でログインアタックを撃退

プラグインでハッカーを撃退

プラグイン「Limit Login Attempts」は、WordPressのログイン画面であらかじめ設定しておいた回数のログイン失敗を検出すると、一定時間ログイン認証処理を停止するもの。

さらに制限回数のログイン失敗を検出した場合には、ロック時間が延長される。一定時間ログイン認証がロックされることで、アタックの効率を下げ攻撃者が退散する効果を期待するわけだ。
ログイン失敗の制限回数やロックの時間などは、管理画面で自由に設定でき、ロックがかかった場合には管理者へメールで通知してくれる機能もついている。

Limit Login Attemptsのインストールと設定

それでは実際に、プラグイン「Limit Login Attempts」を実装する手順を紹介しよう。
プラグイン実装の手順は、次のようになる。

  • 1.入手とインストール
  • 2.日本語化も可能
  • 3.プラグイン「Limit Login Attempts」の設定

1.入手とインストール

プラグイン「Limit Login Attempts」はWordPress.org からダウンロードすることができる。

WordPress.org「Limit Login Attempts」ダウンロード

プラグインの有効化

インストールは、ダウンロードした圧縮ファイルを解凍後、[/wp-content/plugins」へアップロードし、管理画面のプラグインから「有効化」すれば完了だ。そのままデフォルトの設定ですぐに機能してくれる。

2.日本語化も可能

プラグイン「Limit Login Attempts」は、初期状態では管理画面が英語表記のままだ。特に難しい英語が使われているわけではないので、そのまま使用しても機能的には何も問題はないが、日本語化して利用する場合は、日本語化ファイルが配布されているので利用してもいいだろう。

日本語化ファイル:limit-login-attempts-ja.po

ダウンロードした日本語ファイルの中に「limit-login-attempts-ja.mo」が存在するので、/wp-content/plugins/limit-login-attempts/にアップロードするだけで、日本語化は完了だ。

3.プラグイン「Limit Login Attempts」の設定

プラグイン「Limit Login Attempts」の設定は、デフォルトでも十分な設定がされているが、管理画面で図のように設定値を変更することでセキュリティを強固にすることも可能だ。

プラグインの設定

念のため、動作を確認してみよう

動作を確認してみよう。

ログインを失敗すると

ログファイルの記録

もしあなたがログインに失敗し、締め出されたら

もしあなたがロックされたら

常用しているパソコン以外でログインしようとした時など、ソラで覚えていたはずのパスワードを忘れてしまっていることはよくある話だ。「あれ?」と数回トライ&エラーを繰り返してしまうと、プラグインはあなたをハッカーとみなしてしまう。

カッとなってしまう方は、ギャンブルだけではなく、WordPressのログインも要注意だ。

不幸にもログインに失敗してしまった時にも、正規の管理者だけに許された救いの手は存在するから安心してほしい。
まず、WiFi接続していないスマホから管理画面にアクセスし、正しくログインする。プラグイン「Limit Login Attempts」の管理画面から「ロックを解除する」ボタンをクリックすると、ロック状態から解放される。

ロックの解除

WordPressを健全に運用してこそ、集客につながる

安全なWEBサイト運営を

お化け屋敷ではないのだから、危険が潜むWEBサイトに人が集まるはずがない。
集客し、訪問者にしっかり情報を持って帰ってもらうためには、WEBサイトを健全に運用することが最低限の条件だ。

WordPressは、サイト構築のツールとして非常にすぐれた構造と機能を兼ね備えている。多くのユーザーから支持されればされるほど、それに付け込もうとする者もいるのだ。WordPressをしっかり維持管理し、たくさんの方々にあなたのすばらしいコンテンツを届けて欲しい。

この記事が、まじめにWEBサイト運営に取り組んでいるあなたの参考になれば幸いだ。

シェアする
  • line

別のコラムにもヒントがあるかも・・・

このコラムに興味があったなら、
こんなコラムも

執筆:平田 弘幸

フレイバーズに、ご相談されませんか?