WordPressでログイン試行を制限する方法は?

公開: 2021-11-30

以前の記事では、WordPressサイトでブルートフォース攻撃を阻止するさまざまな方法について説明しました。 他のすべてのオプションと比較して、WordPressログインページのログイン試行を制限することは、サイトを保護するための最も効果的な方法の1つです。 ほとんどのユーザーは、これは難しい作業であり、Webサイトのセキュリティを強化するのに十分ではないと考えています。 これは主に、時間がかかり、費用がかかり、まったく難しい場合があるという事実によるものです。 しかし、プラグインを使用してWordPressサイトでのログイン試行を10分未満で制限できると言ったらどうなるでしょうか。 それを行う方法については、さらに読んでください。

WordPressでログイン試行を制限する理由

WordPressは、WebサイトのURLに/ wp-admin /または/wp-login.phpサフィックスを追加することでアクセスできる簡単なログインフォームを提供します。 プラグインを使用してこのURLを変更できますが、多くのWordPressプラグインがダッシュボードへのアクセスに同じログインページを使用するため、他の問題が発生する可能性があります。 以下は、WordPressログインページを使用する可能性のあるプラグインの種類です。

  • WooCommerceのようなオンラインストアプラグイン
  • コンテンツサブスクリプションプラグイン
  • メンバーシッププラグイン

有料の顧客にカスタムURLまたはパスワードを提供することは専門的に見えません。 したがって、最善のオプションは、ログインの試行を制限することです。これにより、顧客がサイトにログインできるようになると同時に、自動ボットが制限されます。

さらに、ボットをブロックすると、サイトへの実際の訪問者にサービスを提供するために利用できるサーバー帯域幅が節約されます。

ログイン試行の制限リロードされたプラグイン

この問題に対する私たちの解決策は、 Limit Login Attempts ReloadedPluginの形をとっています。 これは、ログインの試行を制限するための最良のWordPressプラグインであり、構成と実装が非常に簡単です。

  • WordPress管理ポータルを開き、「プラグイン>新規追加」セクションに移動します。
  • 検索ボックスに「ログイン制限」と入力するだけで、関連するプラグインのリストが見つかります。
  • 以下のスクリーンショットに示すように、検索結果でLimit Login Attempts Reloadedプラグインを見つけ、[インストール]をクリックしてから、すぐに[アクティブ化]をクリックします。
ログイン制限プラグインをインストールしてアクティブ化する
ログイン制限プラグインをインストールしてアクティブ化する

プラグインダッシュボード

インストールしてアクティブ化すると、WordPressダッシュボードのサイドバーに「ログイン試行の制限」という名前の新しいメニューが表示されます。 そのメニューをクリックして、プラグインのコントロールパネルに入ります。 または、下のスクリーンショットに示すように、[設定]> [ログイン試行の制限]からページにアクセスすることもできます。

制限ログイン試行ダッシュボードを開く
制限ログイン試行ダッシュボードを開く

ページに入ると、プラグインのダッシュボードセクションが表示されます。 ここでは、すべての一般的な概要を取得したり、以下を監視したりできます。

  • Webサイトで失敗したログイン試行の総数を、円グラフと棒グラフの形式でグラフ表示された形式で表示します。
  • プラグインのプレミアムバージョンにアップグレードします。 プラグインの無料バージョンはほとんどのユーザーにとって十分すぎるほどですが、プラグインのインストール後にWebサイトのパフォーマンスが低下した場合は、プラグインがクラウドでブルートフォース攻撃を吸収し始めるため、プレミアムにアップグレードするとこの問題が解決するはずです。ローカルではなくサーバー。 また、24時間のサポート、すべてのデータの自動バックアップ、その他の高度な調整も利用できます。
  • 国によるログイン試行の失敗などの興味深い統計を毎日表示します。
ログイン試行の制限ダッシュボード
ログイン試行の制限ダッシュボード

プラグイン設定を構成する

[設定]タブをクリックして、WordPressのデフォルトのログイン設定に特定の構成と変更を加えます。 このページでは、次の変更を加えることができます。

  • ロックアウト時に通知:ログインに何度も失敗したためにWebサイトがロックアウトされるたびに、挿入した電子メールアドレスに通知されます。 デフォルトでは、プラグインは3回のロックアウト後に電子メールで通知しますが、以下に示すように、3ではなく「1」を入力することですべてのロックアウトに変更できます。
ロックアウトの通知設定
ロックアウトの通知設定
  • ロックアウト設定:このセクションでは、次のセキュリティ変更を行うことができます。
    • 許可された再試行:これは、Webサイトの管理ポータルへのログインを試行できる回数です。 ここでのプラグインのデフォルト値は4ですが、セキュリティの観点からは2または3の方が適しています。
    • 分ロックアウト:これは、Webサイトの管理者ポータルにアクセスできなくなる期間です。 私たちの意見では、デフォルト値の20分が適切ですが、好みに応じて変更することもできます。
  • ロックアウトはロックアウト時間を増加させます:これは基本的に、複数のロックアウトの後に何が起こるかを指します。 たとえば、デフォルトのプラグイン設定に従って、4回のロックアウト後、ロックアウト期間は20分から24時間に変更されます。
  • 再試行はリセットされます:入力した値によって、再試行がリセットされ、ユーザーが再ログインを試行できるようになるまでにかかる時間が決まります。
  • 信頼できるIPオリジン:信頼できる特定のオリジンがある場合は、ここにコンマで区切って入力できます。 プラグインと同様に、他のオリジンは簡単に偽造される可能性があるため、デフォルトのREMOTE_ADDRオリジンを使用することをお勧めします。
アプリの設定でログイン試行を制限する
アプリの設定でログイン試行を制限する

プラグインの特定の設定を入力したら、「設定の保存」をクリックして構成をアクティブ化することを忘れないでください。

ログの表示

さらに、[ログ]タブから、これまでの合計ロックアウトを表示したり、ブロックまたはセーフリストしたいIPまたはIP範囲を手動で一覧表示したりできます。

ログイン試行ログの制限
ログイン試行ログの制限

プラグインの動作を見る

プラグインを構成したので、実際にどのように機能するかを見てみましょう。 WordPress管理ポータルからログアウトし、ログインページが表示されたら、無効なユーザー名とパスワードを入力してプラグインをテストします。 ご覧のとおり、プラグインは、サイトがIPアドレスをロックするまでの試行回数を明確に示しています。 ログインを3回の無効な試行で制限するように構成したため、「残り3回の試行」のようなメッセージが表示されます。

無効なログイン試行
無効なログイン試行

間違ったユーザー名またはパスワードを入力し続けると、下のスクリーンショットに示すようなロックアウト状態が発生します。 この状況では、ロックアウト期間(この場合は20分)が経過するまで、別のログイン要求を送信することはできません。 実際、正しい資格情報を送信しても、プラグインはこのロックアウト期間中はログインできません。

ロックアウトログインの試行
ロックアウトログインの試行

最後の言葉

特に登​​録機能を使用していない場合は、WordPressサイトでのログイン試行を制限することを強くお勧めします。 失敗したログインの統計を監視して、攻撃の原因を理解できます。 必要に応じて、ロックアウト期間を延長するか、IPアドレスを永続的にブロックしてセキュリティを強化できます。 ただし、有料の顧客がデフォルトのWordPressログインフォームからログインする場合は、あまり多くの制限を使用しないでください。