WordPressのログイン画面って

WordPressのURL/wp-login.php

WordPressのURL/wp-admin.php

とかじゃないですか。これってデフォルトで設定されていますよね。変更できますけどね。

WordPressを使ったことがある人には、他サイトなんかで「/wp-login.php」を直打ちして、ログインできるんじゃないか、って試してみたことがある人もいるのではないかと思います。それが有名なサイトであればあるほど、そうやって、ログイン画面にアクセスされて、総当り攻撃（ブルートフォースアタック）などを受ける可能性が高くなる。そんな攻撃をうけているのかどうか、検出するプラグインがWordPressにはあります。今回はその導入方法を紹介します。

プラグインダウンロード＆有効化

プラグインはこちらからダウンロードしてください。

Limit Login Attempts

zipファイルを解凍、プラグインフォルダにFTPソフトを使ってアップロード。

管理画面からプラグインをクリック。Limit Login Attempts を有効化する。

毎度の流れですね。

Limit Login Attempts の設定

設定画面はこんな感じです。

設定例：

①． Lockout　 （ログインのロックに関する設定）

• ログインの再試行回数の設定。
• 設定したログイン試行回数を超えたときはログインをロックする。この場合は４回のログインに失敗した場合は
• ２０分間、何をしてもログインできなくなる。
• 24時間（1日）を1サイクルとして、ロックされた回数を監視。
• ログインの試行回数をリセットする時間を設定。１２時間（半日）でリセットする。

②．Site connection　（リバースプロキシとサーバに関する設定）

よくわからない場合は、デフォルトの設定のままでいいです。

③．Handle cookie login　（クッキー保存でのログイン設定）

クッキーに保存されている情報からログインを許可するかどうかの設定。

④．Notify on lockout　（ ロックされたときの通知設定）

ロックされたIPを記録。４回のロックで管理者にメールで通知する。

以上で、設定は完了。設定を保存しましょう。

画面サンプル

わざとパスワード間違えてログインをしてみようとしました。

あと3回試せますよ～って表示されています。で、3回でログインできなくなった場合は、管理者、つまり今村にメールでIPなどの情報が通知されるわけですね。

まとめ

WordPressもこれだけ有名になってきたんで、もう世間的にはCMSを構築するなら、WordPressだ！と浸透してきたと思います。ちなみに、つい最近発表されたものでは、新規でWEBサイトを構築する時に実に22%のサイトがWordPressで作られている。というデータがあります。

http://techcrunch.com/2011/08/19/wordpress-now-powers-22-percent-of-new-active-websites-in-the-us/

この通り、これからもWordPressを利用したWEBサイトは増える一方だと思います。で、心配になってくるのがセキュリティですよね。

今回のログイン試行回数の制限と、メールで通知するプラグインLimit Login Attempts は、サイト改ざんや乗っ取りを狙った攻撃対象を特定するものとして、有効に働きます。敵の情報収集は抜かりないようにしておこう、ってやつですよ。そして、その情報を以ってしかるべき対応をすべきです。具体的には、攻撃してきたIPアドレスの拒否が一番有効でしょうが、whoisやtracertなどで経路を追跡して警告するのも良いでしょうね。

とにかく、攻撃され続けたままでは、いかに複雑なユーザ名、パスワードを設定していてもいずれ突破されないとも限りませんね。