【wordpressのログイン画面への総当り攻撃などを検出する】 Limit Login Attempts プラグインで敵を知れ

wordpressのログイン画面って

wordpressのURL/wp-login.php

wordpressのURL/wp-admin.php

とかじゃないですか。これってデフォルトで設定されていますよね。変更できますけどね。

 

wordpressを使ったことがある人には、他サイトなんかで「/wp-login.php」を直打ちして、ログインできるんじゃないか、って試してみたことがある人もいるのではないかと思います。それが有名なサイトであればあるほど、そうやって、ログイン画面にアクセスされて、総当り攻撃(ブルートフォースアタック)などを受ける可能性が高くなる。そんな攻撃をうけているのかどうか、検出するプラグインがwordpressにはあります。今回はその導入方法を紹介します。

 

 

プラグインダウンロード&有効化

 

プラグインはこちらからダウンロードしてください。

Limit Login Attempts

zipファイルを解凍、プラグインフォルダにFTPソフトを使ってアップロード。

管理画面からプラグインをクリック。Limit Login Attempts を有効化する。

 

毎度の流れですね。

 

 

Limit Login Attempts の設定

 

設定画面はこんな感じです。

 

設定例:

 

①. Lockout  (ログインのロックに関する設定)

  • ログインの再試行回数の設定。
  • 設定したログイン試行回数を超えたときはログインをロックする。この場合は4回のログインに失敗した場合は
  • 20分間、何をしてもログインできなくなる。
  • 24時間(1日)を1サイクルとして、ロックされた回数を監視。
  • ログインの試行回数をリセットする時間を設定。12時間(半日)でリセットする。

 

②.Site connection (リバースプロキシとサーバに関する設定)

よくわからない場合は、デフォルトの設定のままでいいです。

 

③.Handle cookie login (クッキー保存でのログイン設定)

クッキーに保存されている情報からログインを許可するかどうかの設定。

 

④.Notify on lockout ( ロックされたときの通知設定)

ロックされたIPを記録。4回のロックで管理者にメールで通知する。

以上で、設定は完了。設定を保存しましょう。

 

 

画面サンプル

 

わざとパスワード間違えてログインをしてみようとしました。

あと3回試せますよ~って表示されています。で、3回でログインできなくなった場合は、管理者、つまり今村にメールでIPなどの情報が通知されるわけですね。

 

 

まとめ

 

wordpressもこれだけ有名になってきたんで、もう世間的にはCMSを構築するなら、wordpressだ!と浸透してきたと思います。ちなみに、つい最近発表されたものでは、新規でWEBサイトを構築する時に実に22%のサイトがwordpressで作られている。というデータがあります。

http://techcrunch.com/2011/08/19/wordpress-now-powers-22-percent-of-new-active-websites-in-the-us/

この通り、これからもwordpressを利用したWEBサイトは増える一方だと思います。で、心配になってくるのがセキュリティですよね。

 

今回のログイン試行回数の制限と、メールで通知するプラグインLimit Login Attempts は、サイト改ざんや乗っ取りを狙った攻撃対象を特定するものとして、有効に働きます。敵の情報収集は抜かりないようにしておこう、ってやつですよ。そして、その情報を以ってしかるべき対応をすべきです。具体的には、攻撃してきたIPアドレスの拒否が一番有効でしょうが、whoisやtracertなどで経路を追跡して警告するのも良いでしょうね。

 

とにかく、攻撃され続けたままでは、いかに複雑なユーザ名、パスワードを設定していてもいずれ突破されないとも限りませんですから。次回はさらにログイン画面のセキュリティを高める方法をご紹介します。

著者:bouya Imamura

コメント

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

お名前,メールアドレスが仮のものですとコメントが反映されない場合があります

最近の投稿が物足りない方は

最新記事の隣にアイキャッチ(サムネイル)を簡単につけられるWordPressプラグインをWordPress.orgで無料で配布中です。画像は人の目につきやすいですね。導入方法は、専用ページをご参考ください。 プラグイン専用ページ
※バージョン1.3.1より、PHP5.3以上で動作するように変更しました。動かない!という方は専用ページで解決方法をご案内しています。

PICKUP!