【WordPressのログイン画面への総当り攻撃などを検出する】 Limit Login Attempts プラグインで敵を知れ

WordPressのログイン画面って

WordPressのURL/wp-login.php

WordPressのURL/wp-admin.php

とかじゃないですか。これってデフォルトで設定されていますよね。変更できますけどね。

WordPressを使ったことがある人には、他サイトなんかで「/wp-login.php」を直打ちして、ログインできるんじゃないか、って試してみたことがある人もいるのではないかと思います。それが有名なサイトであればあるほど、そうやって、ログイン画面にアクセスされて、総当り攻撃(ブルートフォースアタック)などを受ける可能性が高くなる。そんな攻撃をうけているのかどうか、検出するプラグインがWordPressにはあります。今回はその導入方法を紹介します。

プラグインダウンロード&有効化

プラグインはこちらからダウンロードしてください。

Limit Login Attempts

zipファイルを解凍、プラグインフォルダにFTPソフトを使ってアップロード。

管理画面からプラグインをクリック。Limit Login Attempts を有効化する。

毎度の流れですね。

Limit Login Attempts の設定

設定画面はこんな感じです。

設定例:

①. Lockout  (ログインのロックに関する設定)

  • ログインの再試行回数の設定。
  • 設定したログイン試行回数を超えたときはログインをロックする。この場合は4回のログインに失敗した場合は
  • 20分間、何をしてもログインできなくなる。
  • 24時間(1日)を1サイクルとして、ロックされた回数を監視。
  • ログインの試行回数をリセットする時間を設定。12時間(半日)でリセットする。

②.Site connection (リバースプロキシとサーバに関する設定)

よくわからない場合は、デフォルトの設定のままでいいです。

③.Handle cookie login (クッキー保存でのログイン設定)

クッキーに保存されている情報からログインを許可するかどうかの設定。

④.Notify on lockout ( ロックされたときの通知設定)

ロックされたIPを記録。4回のロックで管理者にメールで通知する。

以上で、設定は完了。設定を保存しましょう。

画面サンプル

わざとパスワード間違えてログインをしてみようとしました。

あと3回試せますよ~って表示されています。で、3回でログインできなくなった場合は、管理者、つまり今村にメールでIPなどの情報が通知されるわけですね。

まとめ

WordPressもこれだけ有名になってきたんで、もう世間的にはCMSを構築するなら、WordPressだ!と浸透してきたと思います。ちなみに、つい最近発表されたものでは、新規でWEBサイトを構築する時に実に22%のサイトがWordPressで作られている。というデータがあります。

http://techcrunch.com/2011/08/19/wordpress-now-powers-22-percent-of-new-active-websites-in-the-us/

この通り、これからもWordPressを利用したWEBサイトは増える一方だと思います。で、心配になってくるのがセキュリティですよね。

今回のログイン試行回数の制限と、メールで通知するプラグインLimit Login Attempts は、サイト改ざんや乗っ取りを狙った攻撃対象を特定するものとして、有効に働きます。敵の情報収集は抜かりないようにしておこう、ってやつですよ。そして、その情報を以ってしかるべき対応をすべきです。具体的には、攻撃してきたIPアドレスの拒否が一番有効でしょうが、whoisやtracertなどで経路を追跡して警告するのも良いでしょうね。

とにかく、攻撃され続けたままでは、いかに複雑なユーザ名、パスワードを設定していてもいずれ突破されないとも限りませんね。

著者:bouya Imamura