最終更新日:2024年6月20日 ジェローム・ケルヴィエル
WordPressでログイン試行を制限することは、ウェブサイトのセキュリティを強化する上で非常に重要です。ここでは、その方法をステップバイステップで説明します:
WordPress自体は安全なプラットフォームですが、だからといってサイトが侵入されないわけではありません。最も一般的な攻撃のひとつは、人間やボットのハッカーが、ログインページでユーザー名とパスワードの組み合わせを試行錯誤し、うまくいくまで強引に突破しようとするものです。このような攻撃を防ぐために、WordPressのプラグインを使ってログインの試行を制限することができます。
特定のIPからの一定時間内の試行回数を制限することで、過剰なアクセス試行をブロックし、セキュリティを強化することができます。
この記事では、無料のプラグインを使ってこのセキュリティ機能を設定する方法を、その利点と欠点について説明します。さっそく見てみよう!
1.セキュリティ・プラグインを使う
ログイン試行を制限する最も簡単な方法の1つは、セキュリティプラグインを使用することです。以下のようなプラグインがあります。 ワードフェンスiThemes SecurityやLimit Login Attempts Reloadedは、サイトを保護するための強力な機能を提供します。
ステップ
- お好きなプラグインをインストールして有効化してください。
- プラグインの設定に移動する。
- お好みに応じてログイン試行回数の制限を設定します(例えば、3回失敗したらIPをブロックするなど)。
をインストールします。ログイン試行を制限する「プラグイン
ほとんどのユーザーにとって、WordPress の Limit Login Attempts プラグインはログイン試行を制限する最良の選択肢です。質の高いオプションはいくつかありますが、私たちは無料の Limit Login Attempts Reloaded プラグインをお勧めします:
- 無料版もある。
- 人気 - 200万以上のサイトで利用されている。 WordPress.org.
- よく評価されている - 98%。
- 使いやすい。
プラグインが有効化されると、プラグインを開くことができ、プラグインのダッシュボードに移動します。ここでは、過去24時間のログイン失敗回数の合計や設定パネルなど、包括的な概要が表示されます。
ステップ2:プラグインの設定をカスタマイズする
まずは、"設定"エリアを選択します。を選択することから始めるのがよい。GDPRコンプライアンス"チェックボックスを上部に設置してください。これにより、WordPressの管理者ログインページにセキュリティメッセージが表示され、透明性が保たれます。また、"ロックアウト時に通知"機能を使ってください。これにより、誰かが何度もログインを試みたり失敗したりすると、メールで通知されます。
この下には、"ローカルアプリ"セクションでは、ロックアウトまでに許可される試行回数の設定、何度か試行が失敗した場合にユーザがロックアウトされる期間の設定、執拗な違反者に対するロックアウトの期間と増加の指定など、ログイン試行に関するルールを微調整することができます。
適切な設定がわからない場合は、デフォルトの数値で大丈夫です。
のデータを調整する必要はない。信頼できるIPオリジン「をクリックしてください。設定の保存".プラグインが機能するかどうかをテストするには、ウェブサイトのログインページに行き、間違ったログイン情報を入力するだけです。不正なログイン情報が入力されたというメッセージと、あと何回試行が残っているかが表示されます。また、試行が失敗したことを知らせるEメールがあなたのEメールアドレスに送信されます。もちろん、ダッシュボード上でもログインの失敗をいつでも確認することができます:
ログイン試行を制限するメリットは何ですか?
すべてのセキュリティ技術がすべてのウェブサイトに適しているわけではなく、この技術には潜在的な利点と欠点の両方があります。ログイン試行を制限することの利点を見てみましょう:
- 人間や自動化されたボットが、正しいものに当たるまで何百(または何千)ものユーザー名とパスワードの組み合わせを試すことができないようにします。
- ハッカーやボットは次のターゲットに移るため、一時的なロックアウトは攻撃を阻止するのに十分な場合が多い。
- 正当なユーザーのほとんどは、1回のログイン試行で済みますが、認証情報を忘れたりタイプミスをした場合は、数回で済むかもしれません。
欠点は?
を実施する。 ワードプレスプラグイン ログインの試行を制限することに課題がないわけではない。以下の欠点を考えてみよう:
- サイトにプラグインを追加する。このプラグインは非常に軽量だが、(セキュリティやパフォーマンス上の理由から)プラグインの数を減らしたいと考えているサイトオーナーには、このプラグインが敬遠される可能性がある。
- もちろん、たまに本物のユーザーがログインに苦労してロックアウトされてしまうという欠点もある。
2..htaccessファイルの設定
コーディングに慣れていて、サーバーのファイルシステムにアクセスできる人なら .htaccess
ファイルは、ログインの試行を制限し、ログインを保護する効果的な方法です。 ワードプレスサイト ブルートフォース攻撃から。その .htaccess
ファイルは強力な Apacheウェブ・サーバーが使用する設定ファイル を使用して、セキュリティ設定を含む様々なサーバー設定を制御することができます。ここでは、以下の設定方法について詳しく説明します。 .htaccess
ファイルでログイン試行を制限する:
.htaccessファイルを修正する手順:
1.ウェブサイトのファイルにアクセスする
- FTPクライアントを使用する:
- FTPクライアント(FileZillaなど)をダウンロードしてインストールする。
- FTP認証情報を使用して、ウェブサイトのサーバーに接続します。
- WordPressインストールのルート・ディレクトリに移動する。
公開_html
またはそれに類するもの。
- ホスティングコントロールパネルの使用
- ウェブホスティングのコントロールパネル(cPanelなど)にログインします。
- ファイルマネージャーツールを使用して、WordPressサイトのルートディレクトリに移動します。
2..htaccessファイルのバックアップ
変更を加える前に、現在の .htaccess
ファイルに保存しておけば、何かあったときに復元できます。
- ダウンロード
.htaccess
ファイルをFTPクライアントまたはホスティングコントロールパネルのファイルマネージャを使用してローカルコンピュータに保存します。
3..htaccessファイルを編集する
を開く。 .htaccess
ファイルをテキストエディタ(Notepad++やホスティングコントロールパネルの組み込みエディタなど)を使用して作成します。
4.ログイン試行を制限するコードを追加する
以下のコード・スニペットを .htaccess
ファイルでログイン試行を制限する:
<IfModule mod_rewrite.c>
RewriteEngine オン
リライトベース /
RewriteCond %{request_method}。 ポスト
RewriteCond %{request_uri}。 ^(.*)?wp-login.php(.*)$
RewriteCond %{リモートアドレス}。 !^123\.456\.789\.000$
RewriteCond %{リモートアドレス}。 !^111\.222\.333\.444$
RewriteCond %{リモートアドレス}。 !^555\.666\.777\.888$
RewriteRule ^(.*)$ - [F,L]。
</IfModule>
コードの説明
- RewriteEngineオン: ランタイム書き換えエンジンを有効にする。
- リライトベース:ディレクトリごとの書き換えのためのベースURLを設定します。
- RewriteCond %{REQUEST_METHOD}.POST: ログイン試行に使用される)POSTリクエストにのみルールを適用します。
- RewriteCond %{REQUEST_URI}.^(.)?wp-login.php(.)$: のリクエストに適用する。
wp-login.php
ファイル。 - RewriteCond %{REMOTE_ADDR}。!^123.456.789.000$: 特定の IP アドレスをルールから除外します。置換
123.456.789.000
を、アクセスを許可したい実際のIPアドレスと置き換えます。アクセスさせたい実際のIPアドレスをRewriteCond
の行を、許可された各IPに必要なだけ追加する。 - RewriteRule ^(.*)$ - [F,L]: アクセスを拒否し(403 Forbiddenステータスを返す)、それ以降のルールの処理を停止する。
5.ファイルを保存してアップロードする
- に変更を保存します。
.htaccess
ファイル。 - FTPクライアントを使用して変更したファイルをサーバーにアップロードするか、ホスティングコントロールパネルのエディタを使用している場合は直接保存します。
6.変更をテストする
- ルールが正しく機能していることを確認するために、許可されていないIPアドレスからWordPressサイトにログインを試みます。403 Forbiddenエラーが表示されるはずです。
- 許可されたIPアドレスからログインできることを確認する。
その他のアドバイス
- IPをホワイトリストに登録します: で、あなたのIPアドレスがホワイトリストに登録されていることを常に確認してください。
.htaccess
ファイルを使用して、ロックアウトを防ぐ。 - 動的IPアドレス: IPアドレスが頻繁に変更される場合は、固定IPのVPNやDynDNSのようなサービスを利用してアクセスを維持することを検討してください。
- 定期的なアップデート を定期的に見直し、更新する。 .htaccessファイルがセキュリティに適合していることを確認する。 ニーズに対応し、IPアドレスの変更にも対応する。
を変更する。 .htaccess
ファイルを使用してログイン試行を制限することは、WordPressサイトのセキュリティを強化するための堅牢かつ柔軟な方法です。技術的な知識は必要ですが、このプロセスは簡単で、不正なアクセスに対する追加の保護レイヤーを提供します。常に .htaccess
ファイルを変更する前に十分なテストを行い、許可されたユーザーがサイトにアクセスできることを確認してください。
結論
厳密には必須ではありませんが、ログイン試行を制限するプラグインをインストールすることは、WordPressサイトを保護するためのスマートで積極的な一歩です。ブルートフォースアタック(WordPressの寛大なユーザーベースを狙うハッカーの間で好まれている手口)からサイトを強化することで、わずかな時間の投資で利益を得ることができます。
さらに .htaccess
ファイルを使用してログイン試行を制限することは、サイトのセキュリティを強化するための強固で柔軟な方法です。この方法には多少の技術的な知識が必要ですが、プロセスは簡単で、不正アクセスの試みに対する追加の保護レイヤーを提供します。常に .htaccess
ファイルを変更する前に十分なテストを行い、許可されたユーザーがサイトにアクセスできることを確認してください。プラグインを使う方法と .htaccess
ファイルは、WordPressサイトに包括的なセキュリティを提供することができます。