WordPressのログイン画面のURLは、デフォルトではhttp://example.net/wp-admin となっており、ログインユーザー名も初期設定ではadminとなっているので、パスワードが推測されてしまうと、不正にログインされてしまう恐れがあります。

ブルートフォースアタック(総当り攻撃)をされてしまうと、いつかは突破されてしまう可能性も否めません。

WordPressの管理画面へのログイン画面の画像

そんなリスクを多少でも減らすことが出来るWordPress用セキュリティ対策プラグインが、Simple Login Lockdownです。

Simple Login Lockdownは同一IPアドレスからのアクセスで連続してログイン失敗すると、一定期間経過するまでは、そのIPアドレスからのログイン操作が出来なくなります。

これさえ導入しておけば盤石の備えというわけではありませんが、気休め程度に導入しておくのもひとつの方法だと思います。

今回はSimple Login Lockdownの導入方法と設定方法を解説いたします。

Simple Login Lockdown

Simple Login Lockdownインストール

Simple Login LockdownはWordPressの公式リポジトリに登録されています。

管理画面からも簡単に導入することが可能になっています。

既に導入済みの方や、詳しいインストール方法の解説が不要な方はSimple Login Lockdownの設定へお進みください。

Simple Login Lockdownのインストール方法の解説画像

管理画面にログインしたら、「プラグイン」をクリックして、次に「新規追加」をクリックします。

 

Simple Login Lockdownのインストール方法の解説画像

検索フォームにSimple Login Lockdownと入力して、「プラグインの検索」ボタンをクリックします。

 

Simple Login Lockdownの導入方法の解説画像

Simple Login Lockdownが見つかったら、「いますぐインストール」をクリックします。

 

Simple Login Lockdownのインストール解説画面です。

インストールが完了したら、「プラグインを有効化」というリンクをクリックします。

有効化されれば、インストール作業は完了です。

Simple Login Lockdown設定

Simple Login Lockdownの設定方法の解説画像

管理画面から「プラグイン」をクリックして、「インストール済みプラグイン」を選択します。

 

WordPressの管理画面上のSimple Login Lockdownの設定方法の解説画像

Simple Login Lockdownの項目の下に「Settings」というハイパーリンクがあるのでクリックします。

 

Simple Login Lockdownの設定画面の解説画像

  • Login attempt limit:ログインを試みることが出来る回数
  • Login lockdown time:ロックダウンされた後、再度ログインを試みることができるようになるまでの時間

設定を変更したら、変更を保存します。

 

ログインに連続失敗して、ログインが試みられなくなった画像

ユーザー名やパスワードの入力ミスが指定の回数を超えると、
Too many login attemps from one IP address! Please take a break and try again later
と表示されて、それ以上ログインを試みる事ができなくなりました。

指定した時間が経過すれば再度ログインを試みる事ができるようになります。

以上で、 Simple Login Lockdownの解説でした。

.htaccessで指定のIPアドレス以外はログインできなくする方法

Simple Login Lockdownは同一IPアドレスからの連続ログインを防ぐプラグインですので、アクセスの度に違うプロキシサーバを経由してブルートフォースアタックを行って来るクラッカーには対応できません。

ですので、アクセスする時に使用しているプロバイダが決まっている場合、そのホスト以外からのログイン画面へのアクセスを拒否しておくと、効果が高まると思われます。

やり方はログインを許可するIPアドレスを記述した.htaccessファイルを/wp-admin に設置するだけです。

Order Deny,Allow
Allow from .example.ne.jp
Deny from all

上記の3行のファイルをa.ataccessという名前で保存を行い、/wp-admin/にFTPで転送を行います。

転送を行ったらa.ataccessという名前を.htaccessという名前にリネームします。

Windowsでは.から始まるファイル名を付けられない為、一旦別のファイル名で作成を行い、サーバー上で.htaccessという名前に変更します

Allow from .example.ne.jp は、ご自身がお使いになられているプロバイダなど、許可するIPアドレスやホスト名を記述します。

例:Allow from 192.168.0.1
192.168.0.1からのアクセスを許可する。

例2:Allow from .plala.or.jp
NTTぷららからのアクセスを許可する。

上記の方法を併用することにより、更にセキュリティが高まります。

関連記事

SEOにWordPressが有利なその理由とは
WordPressが使えるサーバー比較。失敗しないサーバー選び
WordPressインストール直後に入れておきたい21個+αのプラグイン
Akismetを有効化してスパムコメントを防ぐ設定とAPIキーの取得方法
FollowMeにMixiを追加してrel=”me nofollow”を付ける方法
WordPressで肥大し続けるリビジョンを管理してすっきりさせる方法
Yoastプラグインを使いセクションでG+と紐付け検索結果に著者情報アイコンを表示させる方法
ツイッターカードをWordPressで設定し概要を表示させる方法
WordPressにContact Form 7メールフォームを導入する方法
WordPressでRedirectionプラグインを使いURLをリダイレクトさせる方法