トップページ > WordPressセキュリティ対策 > 不正アクセス撃退 「Simple Login Lockdown」プラグイン セキュリティ対策

不正アクセス撃退 「Simple Login Lockdown」プラグイン セキュリティ対策

2013/06/30 1:19:18

テーマ: Wordpressセキュリティ対策

WordPressの攻撃「ブルーとフォースアタック(総当り攻撃)」でサイトの改ざんなど被害が増えています。
何度も同じIDでいろんなパスワードでアクセスするという簡単な攻撃ですが、攻撃を受けている間のサーバーにかかる負荷は尋常ではありません。

そこで、同じIPアドレスからのアクセスで連続してログイン失敗すると、一定期間経過するまでは、そのIPアドレスからのログイン操作が不可能となるプラグイン Simple Login Lockdown をご紹介します。

Simple Login Lockdown 不正アクセス対応 プラグイン

Simple Login Lockdown http://wordpress.org/extend/plugins/simple-login-lockdown/

Simple Login Lockdown の設定方法

Wordpressのセキュリティ対策「Simple Login Lockdown不正アクセス

1.ダッシュボード[設定]->表示設定

2.設定を変更

  • Login attempt limit:何回までログイン失敗可能か
    ※デフォルト5回(設定できる回数は5~20回まで
  • Login lockdown time:Login attempt limitで設定した回数を超えて、ログインが不可能になってから可能になるまでの時間
    ※デフォルト60分(30分~24時間)

3.[変更を保存]します。

ユーザー名やパスワードの入力ミスが指定の回数を超えると、

Simple Login Lockdown

「Too many login attemps from one IP address! Please take a break and try again later」

と表示されます。指定した時間を経過するまで、それ以上ログインを試みる事ができなくなります。
指定した時間が経過すれば再度ログインを試みる事ができるようになります。

ログイン不可の解除方法

ログイン時失敗したときに、ログイン不可となってしまったら、指定した(ログイン可能)時間にならないと再度ログイン可できません。
もしすぐにログインしたい場合は以下の2つの方法でログイン不可を解除できます。

1.FTTPなどで「Simple Login Lockdown」のプラグインを削除する

2.DBから直接レコードを削除する

phpMyAdmin等のツールで該当のレコードを特定します。
wp-optionsテーブルのoption_name列から「lock」という単語を含むレコードを探します。

SELECT * 
FROM `wp_options` 
WHERE option_name LIKE ‘%lock%’;

一番最初であれば次のように2レコード該当するはずです。
この2レコードを削除します。

これで、ログイン画面が表示されます。

テストで動作確認したい場合

プラグインを導入したときに、テストを行いますよね?
故意に失敗して動作確認すると指定時間(デフォルト:60分)ログイン出来なくなります。
ログインできなくなるのはこまるので、テスト時には

wp-content/plugins/simple-login-lockdown/inc/login.php 

の90行目

  add_action('plugins_loaded', array(self::instance(), '_setup'));

をコメントアウトしてからテストしましょう。

※1時間経ったらこのコメントアウトは元に戻すことを忘れずに!

 

ロック時間を設定より増やしたい場合

wp-content/plugins/simple-login-lockdown/inc/admin.php 255行目の $options に追加してください。

<10分を追加した例>

$options = apply_filters(‘simple_login_lockdown_time_values’, array(

10 => __(’10 Minutes’, ‘simple-login-lockdown’),
30 => __(’30 Minutes’, ‘simple-login-lockdown’),
60 => __(’60 Minutes’, ‘simple-login-lockdown’),
120 => __(‘2 Hours’, ‘simple-login-lockdown’),
180 => __(‘3 Hours’, ‘simple-login-lockdown’),
240 => __(‘4 Hours’, ‘simple-login-lockdown’),
480 => __(‘8 Hours’, ‘simple-login-lockdown’),
1440 => __(’24 Hours’, ‘simple-login-lockdown’),

));

 

この記事を気に入っていただけましたら下記ソーシャルボタンのクリックや、RSSやFacebookでの購読、Twitterのフォロー等よろしくお願いします!

一緒によく読まれる記事

Wordpressの不正アクセスログを記録 Crazy BoneプラグインWordPressの不正アクセスログを記録 Crazy Boneプラグイン セキュリティ対策 WordPressは最新のものを使おう!Automatic Updater WordPressのバグを暫定的に修正するプラグイン Hotfixセキュリティ対策 WordPressのバグを暫定的に修正してくれる「Hotfix」プラグイン Automatic社 WordPress Backup バックアップ「Vaultpress」プラグインWordPressセキュリティ対策 バックアップ Wordpressセキュリティ対策 ログイン方法の変更 force email loginWordPressセキュリティ対策 ログイン方法の変更 force email login セキュリティ対策 ユーザー名、author名、ニックネームがバレていませんか セキュリティ対策 wp-config.php で設定可能なWordPressセキュリティ対策 サイト改ざん被害 ウィジットに不明なスクリプトコードが明記されているセキュリティ対策★WordPress改ざん 【サイトの修正方法&体験者の声】サイト文字化け→修正→画面が真っ白→修正→復旧完了 admin削除【ログインIDは初期設定では危険】変更ではなくて削除してください!

アメブロからWordPressに移行・引越し

Wordpress移行本