Ryun's Web Note

おすすめのグッズや役立つ情報をあなたにお届けします。

[R]セキュリティ向上のために”Limit Login Attempts”を導入

      2013/10/28

hacker

りゅんた(@RyunNote)です´ω`)ノ

最近海外からのアクセスがものすごい多いんです。10アクセス以上同時に。ただ単にアクセスしてくれているのかなぁっと思いきや、1アクセスが欠けると全員離脱するという状況に。

これは怪しいんじゃないかなぁっと思い、ログインを規制することにしました。

photo credit: dustball via photopin cc

 

異変に気付いたのはリアルタイムアクセス

what-acuses

Google Analyticsのリアルタイムを見ていたら上画像のような画面に。アクセスが多くて喜んでいたのですが、まずアクセス元がない。よくあることなので気にしていなかったのですが、その後アクセスが2に一気に下がりました。

これはおかしい。絶対おかしい。

 

WordPressのログイン画面は誰でも出せる!?

WordPressのURLにwp-login.phpwp-admin.phpを入力すると簡単にログイン画面が出てきます。(変更も可能です。)

つまり入口はつねに見える状況下なんですね。ここに不正ソフトなどでアタックすれば破ることができるかと…。

 

当ブログではユーザー名とパスワードは複雑にしてあるので、以前のadmin事件の時の被害はありませんでした。が、これからどうなるか分からないので対策です。

 

ログイン回数を規制するプラグイン”Limit Login Attempts”を導入

公式サイトから導入するか

もしくはプラグイン→新規追加→”Limit Login Attempts”で導入してください。

 

僕の”Limit Login Attempts”設定はこんな感じ

Limit-Login-Attempts

 

設定→”Limit Login Attempts”から細かく設定ができます。

今現在僕の設定です。

 

Statisticsはロックした回数が表示される

StatisticsのTotal lockoutsはロックした回数が表示されます。IPアドレスなども表示されるため、アクセス不可にすることも可能。(ロボットに通用するかは不明ですが…。)

 

Optionsの説明

Lockout

上から順番に

  • ログインの再試行回数 (3回)
  • 再試行回数を越えた場合、何分アクセスできないようにするか(90分)
  • 24時間(1サイクルとして)で~回ロックされた回数を監視(24時間で4回ロックされたアクセス)
  • ログイン試行回数をリセットする時間(24時間)

()内は僕の設定となっています。

 

Site coneection

リバースプロキシとサーバに関する設定(僕は分からないのでデフォルトのまま)

 

Handle cookie login

クッキーに保存されている情報からログインできるかどうか。(Noの方が厳しいセキュリティになるかと)

 

Notify on lockout
  • ロックされたIPアドレスの記録
  • ~回のロックで運営者にメール通知をする

このように設定してあります。

ご自身で設定してみてください。

 

りゅんた的ℜoundUp

WordPressがかなり有名になり、求人件数にも影響していますがその分不正アクセスも増えるため、しっかりセキュリティは設定しておきましょう。

 

グーグルアドセンスの不正も気を付けて!

 

記事泥棒にも気を付けよう

 

初心者はサポートが充実しているサーバーがおススメ

 - Wordpress, Wordpressプラグイン