ログイン失敗回数を制限して不正ログインを検知するWordPressプラグイン「Limit Login Attempts」

WordPressサイトへのブルートフォースアタックが流行していますね。個人ブログでも攻撃される可能性は十分にあるんじゃないかと思います。

先日、連続してログインに失敗するとユーザーをロックするWordPressプラグイン「Login LockDown」という記事をエントリーしましたが、同じような機能を持っていてかつ高機能なプラグインをTetsuyan’s Blogの哲やんさんに教えてもらったので紹介したいと思います。

今回紹介するのは、「Limit Login Attempts」というプラグインで、設定したログインリトライ回数を超えるとユーザーをロックするというものです。基本は Login LockDown と同じなんですが、Limit Login Attempts は設定されたロック回数を超えるとメール送信する機能もついています。

Limit Login Attempts のインストール

1. Limit Login Attemptsをダウンロードします。
2. ダウンロードしたファイルを展開し wp-content/plugins にアップロードします。
3. 管理画面の[プラグイン]ページで、Limit Login Attemptsプラグインを有効化します。

Limit Login Attempts の日本語化

日本語化パッチは、こちらからダウンロードできます。ダウンロードした limit-login-attempts-ja.mo を wp-content/plugins/limit-login-attempts 配下にアップロードすると日本語化されます。

Limit Login Attempts の設定

許可するリトライ回数などの設定は、管理画面の [設定] – [Limit Login Attempts] で行います。

ロック(Lockout)

〇回までリトライを許可する：許可するリトライ回数を指定します。
〇分間ロックする：リトライ回数を超えた時ユーザーをどれくらいロックするか指定します。
〇回ロックされると〇時間ロックする：ユーザーが何回もロックされるとロックされる時間が長くなります。
〇時間でリトライ数をリセットする：リトライ回数をリセットする間隔を指定します。

サイト接続(Site connection)

接続方法を「ダイレクト接続」「リバースプロキシで接続」から選択します。よくわからない場合は、ダイレクト接続で大丈夫だと思います。

ログインをクッキーで処理(Handle cookie login)

クッキーに残っている情報からログインを許可するかどうかを選択します。

ロック通知(Notify on lockout)

IPログに書き込み：チェックを入れるとログにIPアドレスを残します。
管理者のメールに通知 (〇回のロックで)：設定した回数ロックされたユーザーをメールで通知します。

ログインに失敗すると・・・

ログインに失敗すると以下のようなメッセージが表示されます。

日本語化していない場合は、こんな感じ。

残り回数がなくなると、ロックされてしまいます。ロックされると正しいログイン情報でもログインできなくなります。

ロックしたユーザーの情報は、管理画面の [設定] – [Limit Login Attempts] の「統計」と「ロックのログ」に記録されます。統計情報では、カウントをリセットしたりロックを解除することもできるので、何らかの事故的な理由でロックされたユーザーがいた場合も安心です。

ロックのログでは、接続元のIPアドレスと使用されたユーザー名、ロックされた回数が記録されます。おそらく admin が狙われることが多いと思うので、ユーザー名には admin を使わない方がいいです。

あとがき

Login LockDown もシンプルでいいと思いますが、攻撃を受けているかどうかは管理画面にアクセスしないとわかりません。Limit Login Attempts ならメール通知がついているので、頻繁に同じIPから攻撃を受けていたらすぐに気付くことができますね。

WordPressサイトを狙ったブルートフォースアタックが全世界で流行っているので、何も対策していないという方はこれらのプラグインで早めに対策しておきましょう。

※2013/5/8追記
しばらく様子を見てましたが、こんな個人ブログでも結構攻撃を受けているみたいです。以下の画像は不正ログインを試みたIPの一部ですが、使用されたユーザーはすべてadminでした。やはりadminユーザーは狙われやすいんですね。乗っ取られてからでは遅いので今のうちに対策しておきましょう。