Wordpressのセキュリティ対策

WordPressの攻撃「ブルーとフォースアタック（総当り攻撃）」でサイトの改ざんなど被害が増えています。
何度も同じIDでいろんなパスワードでアクセスするという簡単な攻撃ですが、攻撃を受けている間のサーバーにかかる負荷は尋常ではありません。

そこで、同じIPアドレスからのアクセスで連続してログイン失敗すると、一定期間経過するまでは、そのIPアドレスからのログイン操作が不可能となるプラグイン　Simple Login Lockdown　をご紹介します。

Simple Login Lockdown　不正アクセス対応　プラグイン

Simple Login Lockdown　http://wordpress.org/extend/plugins/simple-login-lockdown/

Simple Login Lockdown　の設定方法

１．ダッシュボード[設定]->表示設定

２．設定を変更

• Login attempt limit：何回までログイン失敗可能か
  ※デフォルト５回（設定できる回数は5～20回まで）
• Login lockdown time：Login attempt limitで設定した回数を超えて、ログインが不可能になってから可能になるまでの時間
  ※デフォルト60分（30分～24時間）

３．[変更を保存]します。

ユーザー名やパスワードの入力ミスが指定の回数を超えると、

「Too many login attemps from one IP address! Please take a break and try again later」

と表示されます。指定した時間を経過するまで、それ以上ログインを試みる事ができなくなります。
指定した時間が経過すれば再度ログインを試みる事ができるようになります。

ログイン不可の解除方法

ログイン時失敗したときに、ログイン不可となってしまったら、指定した（ログイン可能）時間にならないと再度ログイン可できません。
もしすぐにログインしたい場合は以下の２つの方法でログイン不可を解除できます。

１．FTTPなどで「Simple Login Lockdown」のプラグインを削除する

２．DBから直接レコードを削除する

phpMyAdmin等のツールで該当のレコードを特定します。
wp-optionsテーブルのoption_name列から「lock」という単語を含むレコードを探します。

一番最初であれば次のように２レコード該当するはずです。
この２レコードを削除します。

これで、ログイン画面が表示されます。

テストで動作確認したい場合

プラグインを導入したときに、テストを行いますよね？
故意に失敗して動作確認すると指定時間（デフォルト：60分）ログイン出来なくなります。
ログインできなくなるのはこまるので、テスト時には

wp-content/plugins/simple-login-lockdown/inc/login.php 

の90行目

をコメントアウトしてからテストしましょう。

※１時間経ったらこのコメントアウトは元に戻すことを忘れずに！

 

ロック時間を設定より増やしたい場合

wp-content/plugins/simple-login-lockdown/inc/admin.php 255行目の $options に追加してください。

＜10分を追加した例＞

$options = apply_filters(‘simple_login_lockdown_time_values’, array(

10 => __(’10 Minutes’, ‘simple-login-lockdown’),
30 => __(’30 Minutes’, ‘simple-login-lockdown’),
60 => __(’60 Minutes’, ‘simple-login-lockdown’),
120 => __(‘2 Hours’, ‘simple-login-lockdown’),
180 => __(‘3 Hours’, ‘simple-login-lockdown’),
240 => __(‘4 Hours’, ‘simple-login-lockdown’),
480 => __(‘8 Hours’, ‘simple-login-lockdown’),
1440 => __(’24 Hours’, ‘simple-login-lockdown’),

));

 

この記事を気に入っていただけましたら下記ソーシャルボタンのクリックや、RSSやFacebookでの購読、Twitterのフォロー等よろしくお願いします！