WordPress: 管理画面への不正アクセスを予防する「Simple Login Lockdown」

WordPress管理画面への不正アクセスを予防するプラグイン「Simple Login Lockdown」を使ってみました。

「Simple Login Lockdown」について

「Simple Login Lockdown」は、パスワード総当たり攻撃に対抗するプラグインです。

標準的な構成のWordPressでは、ログイン画面のアドレスや管理ユーザー名が推察しやすいため、自動化プログラムを用いた総当たり攻撃により、パスワードが盗まれやすいと言った弱点があります。

「Simple Login Lockdown」は、同一IPアドレスからの連続ログイン失敗を検出すると、該当IPアドレスから一定時間ログインできないようします。

これにより攻撃側の時間を浪費させ、管理者が対策する時間を稼げるようになります。

「Simple Login Lockdown」のインストール

「Simple Login Lockdown」のインストールは、わずか3ステップです。

  1. WordPress管理画面から「プラグイン」の「新規追加」を開く
  2. 「Simple Login Lockdown」で検索
  3. “Simple Login Lockdown”を探して「いますぐインストール」を押す

プラグイン公式サイトからダウンロードしてインストールすることも可能ですので、ご自身に都合の良い方法をお選びください。

WordPress › Simple Login Lockdown « WordPress Plugins [プラグイン公式サイト]

「Simple Login Lockdown」の設定

「Simple Login Lockdown」をインストールして有効化すると、管理画面の「設定」-「プライバシー設定」に設定項目が追加されます。

設定は英語ですが、「Login attempt limit(何回までログイン失敗を許すか?)」と「Login lockdown time(ログインできないようにする時間)」の2項目だけなので、迷うことはないと思います。

自分は初期値である「5回」、「60分」の設定で運用しています。

「Simple Login Lockdown」の動作確認

「Simple Login Lockdown」の動作確認のため、実際に「ログイン失敗」してみました。

通常は普段どおりのログイン画面ですが…

5回連続でログインに失敗すると、エラーメッセージが表示され、ログイン画面は表示されなくなりました。

60分経ってから再びアクセスすると、いつものログイン画面が表示されることも確認しました。期待通りに動いているようです。

「Simple Login Lockdown」の感想

設定項目が少なくシンプルな動作ですが、期待する機能は十分に満たされる良質なプラグインだと思いました。

これ1本で万全のセキュリティ!と言うわけではありませんが、セキュリティ対策の一環として導入を検討しても良いのではないでしょうか。