2013年11月9日土曜日

WordPressの不正ログイン対策プラグイン「Simple Login Lockdown」で試行回数を制限

WordPressの乗っ取り対策として有効なのが不正ログイン対策プラグインで試行回数を制限するというものです。
ログイン認証総当たりしようとして複数回数失敗するとログイン画面をロックするというもので、今回はそのプラグインの中でも使いやすい「Simple Login Lockdown」を紹介します。


「Simple Login Lockdown」とは

  1. ログイン認証のIDとパスワードを総当たりにする攻撃(ブルートフォースアタック)の防止が出来る
  2. ログインの試行回数を制限し、複数認証に失敗するとログイン画面をロックすることが出来る
  3. ログイン試行回数とロック解除までの時間を設定出来る
以上の機能をインストールと簡単な設定で利用出来ます。

「Simple Login Lockdown」の必要性


ロリポップを舞台に行われた大量のWordPressサイト乗っ取り事件からもわかるように、古典的な手口ではありますがログイン画面から総当たり攻撃というのは今でも被害が多いものです。
極端に言うとどんなにIDとパスワードを複雑なものにしても、総当たり攻撃を何時間もかけて行えばいつかは突破されてしまいます。(通常の乗っ取り犯はそこまでするなら次の標的を探しに行きますが・・・)

そんな総当たり対策に有効なのは「Simple Login Lockdown」のような複数回認証に失敗すると認証画面にロックがかかるというしくみです。
乗っ取り犯はこのサイトはダメだと思えばすぐ次の標的を探しに行くので、WordPressのセキュリティ対策にはかなり有効な手段です。


「Simple Login Lockdown」のインストールと設定


インストールはいつものとおりダッシュボード→プラグイン→新規追加で「Simple Login Lockdown」を検索してください。



設定はダッシュボードの設定→表示設定→で表示される画面の下部にSimple Login Lockdownという設定項目が追加されているのがわかると思います。

Login Attempt Limit:複数認証の回数を設定出来ます。5回から20回まで設定が可能です。
Login Lockdown Time:ロック解除までの時間が設定出来ます。30分から24時間まで設定出来ます。




個人的に回数は3回、ロック解除まで72時間くらいまでの設定があっても良いような気もしますが、とりあえずこれだけでも十分ですしもし正規ユーザーでも間違ったら・・・と思うとデフォルトの値もアリかなという気もします。

これだけで総当たりのアタックにかなり有効な対策となりますが、基本的にIDとパスワードは複雑なものにするのが有効な対策ですし、WordPressのバージョンアップやプラグインのバージョンアップなど小まめに行うのも有効な対策です。


まずは「Simple Login Lockdown」でセキュリティ対策という事で導入・設定が簡単なので超オススメです。

0 件のコメント:

コメントを投稿