WordPressサイトへの不正ログインを防ぐために欠かせないのが「ログインロックアウト機能」。
この記事では、この機能を簡単に設定する方法を、初心者の方にもわかりやすく解説します。

無料のセキュリティプラグインもいくつかご紹介しますので、ぜひ参考にして、あなたのサイトのセキュリティを強化してください。

ログインロックアウト機能の重要性

WordPressはログインページの特定が容易であることから、パスワードを何度も試してログインを試みる「ブルートフォースアタック（総当たり攻撃）」の標的になりやすいという特徴があります。

※　ログインページが簡単に特定されてしまうリスクへの対処方法は、以下記事をご参照ください。

ログインページへのアクセスに成功した攻撃者は、パスワードを何度も試して、あなたのWordPressサイトに侵入し、サイトの情報を盗んだり、サイトを改ざんする攻撃を仕掛けてきます。

こうした攻撃は頻繁に行われているものであり、サーバーのアクセスログを確認すると、攻撃者が不正ログインを試みた形跡が残されていることも珍しくはありません。

こうした攻撃に対して有効なのが「ログインロックアウト機能」です。この機能は、一定回数以上連続してログインに失敗したユーザーを、一定時間ログインできないようにするものです。WordPressにこの機能を導入することで、不正アクセスのリスクを大幅に減らすことが可能となります。

ログインロックアウト機能対応!　おすすめWordPressプラグイン

ログインロックアウト機能は、プラグインを使うことで簡単に設定できます。
多くのプラグインがありますが、特におすすめのものをいくつかご紹介します。

以下にて、各プラグインの設定方法を順番にご紹介します。

SiteGuard WP Plugin 設定手順

プラグインのインストール

1.WordPressにログイン後、サイドバーの「プラグイン」を選択し、「新規プラグインを追加」ボタンをクリックします。

2.「SiteGuard WP Plugin」を検索し、「今すぐインストール」をクリックします。

3.「今すぐインストール」部分が「有効化」ボタンに切り替わったら、「有効化」をクリックします。

以上で、プラグインのインストールは完了です。

プラグインの設定手順

1.プラグインを有効化すると、WordPressの管理画面の左側のメニューに「SiteGuard」という新しい項目が追加されます。この「SiteGuard」をクリックすると、SiteGuardの設定画面が表示されまので、画面中央の「ログインロック」を選択してください。

2.ログインロック画面が表示されたら「有効」ボタンをクリックした後、ログインロックアウトの条件を設定します。

最後に「変更を保存」をクリックして、設定を保存してください。

参考）実際にロックがかかると、以下のようなメッセージがログイン画面上に表示されます。

All-In-One Security (AIOS) – Security and Firewall 設定手順

プラグインのインストール

1.まずはWordPressにログインして、サイドバーの「プラグイン」を選択し、「新規プラグインを追加」ボタンをクリックします。

2.「All-In-One Security (AIOS) – Security and Firewall」を検索し、「今すぐインストール」をクリックします。

3.「今すぐインストール」部分が「有効化」ボタンに切り替わったら、「有効化」をクリックしてください。

以上で、プラグインのインストールは完了です。

プラグインの設定手順

1.プラグインを有効にすると、WordPressの管理画面の左側に「WPセキュリティ」というメニューが新しく追加されます。このメニューの中から「ユーザーセキュリティ」を選択してください。画面右側が切り替わったら、「ログインロックアウト」タブをクリックします。

2.設定画面が表示されたら、各項目を設定していきます。

② ロックアウト条件の設定

All-In-One Securityでは、以下のようなロックアウト条件の設定が可能です。

WordPressへの攻撃として、ユーザー名とパスワードを総当たりで試すような攻撃は、実はあまり一般的ではありません。なぜなら、ユーザー名とパスワードの組み合わせの数が膨大で、一つずつ試すには時間がかかりすぎるため、攻撃者にとって効率が悪いからです。

代わりに攻撃者は、よく使われるユーザー名を最初に試して、そのユーザー名が存在するかを確認します。

具体的には「user」、「test」といったよく利用されるユーザー名でログインを試み、「パスワードが間違っています」というメッセージが表示されたら、入力したユーザー名が存在すると判断し、以降様々なパスワードを試す攻撃を仕掛けてくるのです。

こうした攻撃を防ぐ手段として、All in one Securityプラグインでは、「一般的なエラーメッセージを表示」と「 特定のユーザー名を即座にロックする」という機能を提供しています。

③ 一般的なエラーメッセージを表示

この機能を有効化することにより、入力したユーザー名が存在するか否かを判別することができなくなります。

④ 特定のユーザー名を即座にロックする

特定のユーザー名が指定されたら、即座にロックアウトする機能です。
以下のようなユーザー名をロックアウトの対象として指定することをおすすめいたします。

「user」、「test」、「admin」、「root」、「cms」、「guest」、「ftp」、「sample」

参考）ロックアウトされた状態で、ログインページにアクセスすると以下のような画面が表示されます。

CloudSecure WP Security 設定手順

プラグインのインストール

1.WordPressにログイン後、サイドバーの「プラグイン」を選択し、「新規プラグインを追加」ボタンをクリックします。

2.「CloudSecure WP Security」を検索し、「今すぐインストール」をクリックします。

3.「今すぐインストール」部分が「有効化」ボタンに切り替わったら、「有効化」をクリックしてください。

以上で、プラグインのインストールは完了です。

プラグインの設定手順

1.プラグインを有効化後、WordPressのサイドバーに「CloudSecure WP Security」というメニューが追加されます。この項目をクリックして開くと、いくつかの設定項目が表示されます。その中から「ログイン無効化」を選択してください。

2.以下の画面が表示されたら、ログインロックアウトの条件を設定し、「変更を保存」をクリックします。

以上で、プラグインの設定は完了です。

参考）実際にロックがかかると、画面に「入力に誤りがあります」と表示され、ログインすることができなくなります。

まとめ

いかがでしたか？

ブルートフォース攻撃への対策として、ログインロックアウト機能は非常に効果的です。

WordPressサイトが乗っ取られたり、情報漏洩が起こった場合、被害は大きく、復旧には多くの時間と費用がかかります。サイトをより安全に運営したい方には、今回ご紹介したログインロックアウト機能を搭載したプラグインの導入を強くおすすめします。

弊社では、この他にも、ウェブサイトのセキュリティに関する様々なサービスを提供しております。サイトのセキュリティ対策でお悩みの方は、ぜひお気軽にご相談ください。