Login LockDownでWordPressへの不正ログインを防止する。全項目解説

loginlockdownイメージ

「Login LockDown」はWordPressへの不正ログインを防止するセキュリティ向上のためのプラグインです。

このプラグインをインストールすることでユーザーネーム、パスワードを入力できる回数を制限できるので、例えばbotによるブルートフォースアタック(総当たりで入力して突破する攻撃方法)を防ぐのに効果があります。

設定も簡単なのですが日本語化されていないので、全項目解説します。

Login LockDownの設定

loginlockdown設定

Login LockDownの設定は「Settings」タブにある6項目しかありません(実質5項目です)

僕のオススメの設定は以下の通りです

  • Max Login Retries:5
  • Retry Time Period Restriction (minutes):5
  • Lockout Length (minutes):60
  • Lockout Invalid Usernames?:Yes
  • Mask Login Errors?:Yes
  • Show Credit Link?:どれでもOK

以下に各項目について解説します。

Max Login Retries

何回間違っても再入力が出来るか。許容回数の設定です。
デフォルトは3(回)
うっかり間違えることもあるので3~5回が適当です。

Retry Time Period Restriction (minutes)

入力回数のカウントを行う期間の設定です。
デフォルトは5(分)
例えば上記「Max Login Retries」が3だった場合は
「5分以内に3回間違えるとロックアウトしますよ。」
という意味になります。

Lockout Length (minutes)

入力を許容範囲を超えて間違えた場合にログインできなくなる期間の設定です。
デフォルトは60(分)
60分を過ぎればまたログイン出来るようになります。

Lockout Invalid Usernames?

ユーザー名を間違えた場合もカウントするか?という設定です。
デフォルトは「No」でユーザー名はどれだけ間違えてもカウントされません。

しかしセキュリティの事を考えるならここは「Yes」に変えた方が良いです。

Mask Login Errors?

ログインエラーのメッセージに関する設定です。
デフォルトは「No」ですが「Yes」に変えた方がセキュリティ度は向上します。

「No」の状態だとログインエラーのメッセージが
「ユーザーネームが違います」
「パスワードが違います」
とそれぞれに対して表示されます。
これではエラーの表示されない方は合っている。と推測されやすくなるので、セキュリティ上よろしくないです。

「Yes」にするとエッラーメッセージが
「ログインに失敗しました」と変わり、何が間違っているのか推測されにくくなるのでセキュリティ対策も向上します。

Show Credit Link?

WordPressのログイン画面に「Login LockDown」のクレジットを表示する設定です。

選択肢は

  • はい。リンク付きでクレジットを表示します。
  • クレジットは表示しますがリンクはnofollowにします
  • クレジット表示しません

の3択です。

どれを選んでもOKです。

Activityタグ

現在ロックアウトされている状態がある時は、このタグにIPアドレスが表示されます。

loginlockdownActivityタブ

簡単な設定で安心を

loginlockdownWPログイン画面

そうそう不正アクセスがある訳ではないですが、もし何かあってからでは遅いです。

「Login LockDown」は設定も簡単ですし一度導入してしまえばほったらかしでOKですがセキュリティ向上の効果は間違いなくあるので、インストールすることをオススメしますよ。