WordPressへのパスワード総当たり攻撃を防ぐ「Login LockDown」

wordpressプラグイン login lockdown

「Login LockDown」はWordPressへの総当たり攻撃(ブルートフォースアタック)による不正ログインを防止するプラグイン。

総当たり攻撃を防げば安全!というわけではありませんが、WordPressのセキュリティ対策のひとつとして導入すべきプラグインです。

スポンサーリンク

Login LockDownのインストール

プラグインのインストールについては、管理画面から「Login LockDown」で検索。あるいは、以下のプラグインページよりダウンロードしても良いでしょう。

Login LockDown — WordPress Plugins

Login LockDownの設定項目

プラグインをインストールするだけで機能が有効になります。初期状態では5分間に3回ログインに失敗すると以後10分間ログインができなくなる設定になっています。

このままでも特段問題ないと思いますが、ブログの運営状況に応じて変更しても良いでしょう。

Max Login Retries

下記「Retry Time Period Restriction」で指定した時間内に可能なログイン試行回数。初期状態は3回となっています。

Retry Time Period Restriction (minutes)

上記「Max Login Retries」の判定時間。単位は分。初期状態は5分となっています。

Lockout Length (minutes)

ログイン失敗時のロック時間。初期状態は10分となっています。

Lockout Invalid Usernames?

ユーザー名を間違った場合もロックの対象にするかどうかの設定。初期状態はNOになっており、ユーザー名を間違った場合にはロック対象外となっています。

Mask Login Errors?

ログインに失敗した時のメッセージをより安全なものに置き換えるかどうかの設定。YESにすると、ログインに失敗した場合にユーザー名とパスワードのどちらを間違えたのかわからないようになります。

Show Credit Link?

ログインフォームにLogin LockDownのクレジットリンクを表示させるか否か。Login LockDownの機能には何ら影響のない設定ですが、邪魔なのでNOにしておくとよいでしょう。