あなたのサイトでは、どんなセキュリティ対策を行っていますか?
WordPressで作られているサイトは世界的にも高いシェアを誇りますが、ユーザーの母数が多いこともあり、セキュリティ面が乏しいサイトも少なくないと言われています。
しかし、WordPressには多くの優秀なプラグインがあるので、ちょっとした手間を惜しまなければ、割と簡単にセキュリティ対策ができるのもWordPressのいいところです。
とはいってもプラグインの種類によって、さまざまな角度からセキュリティ対策を行えるので、どんな対策をすればいいかわからない方もいらっしゃるかと思います。ですので本稿では、数あるセキュリティ系プラグインの中でもシンプルな機能のみで手軽に設定できるものをご紹介したいと思います。
簡単にログイン試行回数を制限できるプラグイン
機能はいたってシンプルで、ログインの試行回数を制限して、ロックをかけることができるのみです。サーバー側の設定でも同じようにログイン試行回数を制限できますが、サーバーを管理するページにログインする必要があります。
また、複数でサイトを管理している場合、誰もがアクセスできるとは限りませんよね。このプラグインならそういう手間を省いて、WordPressの管理画面内のみで簡単に設定できます。
「Limit Login Attempts Reloaded」のインストール
【注意】「Limit Login Attempts」は別のプラグインです。後ろに「Reloaded」がついているものが、メンテナンスも頻繁に行われている新しいものですので、お間違いないようにご注意ください。2020年6月現在のプラグインのアイコンは以下の通りです。
管理画面から「Limit Login Attempts Reloaded」を検索してインストールするか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。
「Limit Login Attempts Reloaded」の設定方法
有効化するとデフォルトの「設定」の箇所に以下のように表示されますので、そこからプラグインの設定画面に移動します。
下記のような三つのタブが表示されていますが、設定に使うのは「Dashboard」と「Settings」のみです。
以下でそれぞれ説明して参ります。
Dashboard
まずこちらのDashboardに表示されているものですが、「総ロック数」は、そのままロックがかかった総数ですね。
続いてホワイトリストとブラックリストです。ここでは、ログイン制限を免除するリスト(ホワイトリスト)と無条件でログイン不可にするリスト(ブラックリスト)を設定できます。それぞれ、設定したいIPアドレスとユーザー名を入力するだけで完了です。
自分一人でサイト運営している場合は、自分が一番使う場所でIPアドレスとユーザー名をホワイトリストに登録しておくと、万が一ログインパスワードなどを間違えたとしてもロックされることがないので安心ですね。
一方で、自分のサイトのログイン履歴を調べて、怪しいユーザーや国外からのログインがあった場合、それらをこのブラックリストに登録しておきましょう。ここに登録してあるIPアドレスとユーザー名からは強制的にログインできなくなります。試行回数に限らず強制的にロックされ、あなたのサイトを不正なアクセスから守ることが可能です。
Settings
続いてはこちらの画面です。ここでは以下の3つについて設定が行えます。
- GDPRに準拠させる設定
- ロックした場合に管理者にメールで通知するかどうかの設定
- ロックされる基準
まずは、チェックを入れることでプラグインをGDPRのコンプライアンスに準拠させる設定です。「GDPRは個人情報に関する欧州のルールだから日本では関係ない」と思うのは早計です。GDPRについては下記記事が参考になるかと思います。
個人情報に関する法律「GDPR」をご存知ですか?なんとなく聞いたことあるけどEUの法律だから日本では日本の法律を守ればいいんでしょう?と思っているとキケンです。日本で運営しているウェブサイトでも対応範囲に入ってきます。事前に対応をしておかないと、とんでもない罰則を与えられる可能性があります。インター...
2つ目は、ログイン制限がかかった際にメールで通知する設定です。通知先のメールアドレスを入力して何回のロックで通知するかを設定できます。
3つ目は細かく設定可能なロックの基準です。デフォルトでは、4回まではトライできて、それ以上間違うと20分間ログインできなくなる(ロックされる)という設定になっています。さらにロックの回数が4回になるとそこから24時間はログインを試せなくなるという設定です。
それぞれ数値を入力するだけで簡単に設定を変更可能ですので、セキュリティのレベルを自由に調整できますね。厳しく設定して自分がログインできなくならないように注意しましょう。最後の「信頼できる IP Origin」の箇所は特に編集する必要はありません。
詳細の設定が不要という方でも基本的には有効化するだけで機能してくれる簡単便利なプラグインです。実際にログイン画面でパスワードを間違えると、下記のように「残りの間違えてもいい回数」が表示されます。
複数人で管理しているサイトであれば、このタイミングで他者に確認できるので、無闇なログインロックを避けられそうですね。
まとめ
「Limit Login Attempts Reloaded」はシンプルな設定項目のみなので、誰でも簡単に設定できると思います。設定は簡単ですが、ログイン試行回数を細かく調整・制限できるので、パスワードなどに対する総当たり攻撃を未然に防ぐと同時に信頼できるユーザーに余計な煩わしさを与えることもありません。
複数の機能が搭載されたセキュリティ系のプラグインが難しいという方にも、シンプルなログイン周りの対策としておすすめできます。なお他のセキュリティ系のプラグイン(特にログイン周り系)と一緒に使うと互いに干渉してしまう可能性があるので、注意しておきましょう。
WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。ただ、オープンソースで有るが故に、脆弱性が発見されやすくハッカーの標的になりやすい、とも言われています。 ただ、実際のところは専門家もその主張には疑問を持って...
