Limit Login Attempts:猫でもできるWordPressのプラグイン選び24
今回ご紹介するプラグインは「Limit Login Attempts」です。Limit Login Attemptsは、WordPressのログイン画面でログインの試行回数に制限を設けることができるプラグインです。
WordPressは世界で最も利用されてるCMS(Content Manegement System)です。多くのユーザーと多くの開発者に支えられ、プラグインやテーマもたくさん提供されることでさらに便利になり、さらにユーザーが増えるという好循環を迎えています。一方で、人気があるツールは多くの悪意にさらされていることも事実です。
WordPressは管理画面のURLを推定しやすいという問題があります。たとえばレンタルサーバーで「WordPressの自動インストール」機能を使うと、設定を変更しないかぎりドメイン直下に「wordpress」や「wp」というディレクトリがつくられ、その中にWordPressがインストールされます。管理画面を見つけることができれば、あとはログインIDを推定してパスワードを総当りで試す(ブルートフォースアタック)だけです。
ブルートフォースアタックは「総当り」なので、時間さえかければ確実にパスワードを突破することができる攻撃です。
WordPressに不正にログインできれば、あとはサイトの内容を書き換えることも、サイト自体を乗っ取ることも、もしくはウイルスを配布したりや他のサイトへの攻撃の踏み台にすることも可能です。
「Limit Login Attempts」は、上記のブルートフォースアタックによる不正アクセスを防いでくれます。ログインの際、認証に何度か失敗すると、ログイン画面を一定時間ロックすることで管理画面への不正なログインを防いでくれるのです。
丁寧なことに、認証に失敗してログイン画面をロックしてしまっった接続元の記録を残してくれているので、あまりにも続くようでしたら接続元からのアクセスを拒否するというより強硬な手段をとることもできます。
筆者の体験では、2度ほどブルートフォースアタックで乗っ取られたサイトの回復をしたことがあります。発覚するまでしばらくの間、サイトがかなり重い状態が続いていましたが、ある日管理画面にログインできなくなった、という症状です。サーバーからWordPressを削除して事なきを得ましたが、過去の投稿などは再度登録することになりました。レンタルサーバーによっては、管理画面にアクセスできるIPアドレスを制限したり、管理画面へのログイン試行に制限があるものもあります。レンタルサーバー選びの視点のひとつとしてセキュリティを考えるのは必要なことです。