WordPress

【WordPress】ログイン制限をする

2018年4月16日


Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

こんにちは!

 

今回は、WordPress のセキュリティについて書きました。

WordPress の認証を何度か失敗すると、認証を制御するようにしたいので調べたり試してみました。

 

概要

ログイン画面へのアクセスは、自分のモバイルから、家の PC からもアクセスしています。

ログイン制限として、特定の IP からのみアクセスできる事もやろうと思えばできますが、私は特定の IP のみではないようにしたいのです。

不特定の IP からログイン画面にアクセスできるので、つまり誰でも認証を何度も試みることが可能になります。

 

影響

認証失敗の制限をかけないと悪意のあるユーザーからブルートフォースアタックで攻撃され、結果認証ができてしまうと Web サイトが改ざんされてしまうような被害を受けます。

 

事前作業

特に WordPress のバックアップの必要などは無いかと思いますが、認証に失敗したら、WordPress にどういう動作というか制限をさせたいのかを考えて、それに合ったプラグインを決めると良いかと思います。

 

対応

WordPress のプラグイン を使います。

 

Login Lockdown を使う場合

このプラグインは設定した時間内に、パスワードを指定した回数以上間違えると、「アクセス元の IP アドレスは指定した時間の間に認証ができなくなる」という事が可能です。

 

設定方法

 

① プラグインを検索します。プラグイン名は Login Lockdown です。

 

② インストールしたら有効化します。

 

③ プラグインの設定画面へ行きます。

 

④ 設定を変更します。

機能 説明
 Max Login Retries ログインを試みる回数の上限
Retry Time Period Restriction (minutes) 何分以内に Max Login Retries で設定した値の回数認証に失敗するとロックアウトするか
Lockout Length (minutes) ロックアウトした場合、次のログインできるまでの時間(分単位)
Lockout Invalid Usernames?  無効なユーザー名のログイン拒否するか。
Mask Login Errors?  ログインが失敗した場合、通常エラーメッセージを画面に表示させるが、それを非表示にするか。
Show Credit Link? プラグインのリンクを表示するか

 

確認方法

 

① まず、プラグイン無しの状態です。admin というユーザーが存在し、わざとパスワードを間違えて認証を試みました結果です。

ここで問題なのは、ユーザー名 admin のパスワードが間違っていると表示されているので、admin というユーザーが存在する事がばれてしまっております。

 

② それでは、次にプラグインをインストールして有効化した直後に認証失敗させた画面です。ロックアウトの機能は動作しておりますが、このエラー表示は英語ですが内容は変わっておりません。

admin は記載はありませんが、パスワードが間違っているという表示がある以上は admin ユーザーが存在する事がばれてしまっております。

また、Login Lockdown のクレジット情報が表示されておりますね。これは不要です。

 

③ プラグインの設定後の認証失敗した画面です。この認証エラーの表示であれば、ユーザーが存在するかどうかわかりませんよね。また、プラグインのクレジットは不要なので消しました。

 

④ 最後に実際に ロックアウトさせた後に プラグインの画面に [Activity] のログに表示されるか確認しました。ちゃんとロックアウトされた IP アドレスが表示されておりますね。これで OK です。

IP アドレスのチェックボックスにチェックを入れて、[Release Selected] をクリックすればロックアウトを開放できます。

 

以上です。いかがでしょうか。

 

今回プラグインを使ってみて分かったのは、悪意あるユーザーからの認証成功を防止する為に、ロックアウトの機能は必要だと思いました。

 

他のプラグインの機能も試してみたいと思います。

 

では最後までお読みいただきありがとうございました!

関連記事

  1. 【WordPress】バージョン情報を削除する
  2. 【WordPress】Change Table PrefixでDBの接頭辞を変更する
  3. 【PHP】パスワードをハッシュで暗号化する
  4. 【PHP】入力したパスワードとハッシュ化したものを検証する
  5. 【WordPress】WP Mail SMTPでGmailを使いメール送信する
  6. 【WordPress】WPScansでWordPressの脆弱性診断をしてみた
  7. 【WordPress】Contact Form 7にreCAPTCHAを設定する方法
  8. 【WordPress】LightsailでPHPをアップデートする方法
  9. 【Windows Server 2016】sysprepをする
  10. 【Azure AD】ディレクトリを強制同期する
  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1
【Active Directory】PCに適用されているGPOを確認する方法

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2
【Windows10】sysprepとは何か?

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3
【Active Directory】ユーザーにローカル管理者権限を持たせる

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4
【Windows10】一時ユーザープロファイルの問題を解決する

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5
【Windows10】ユーザープロファイルを削除する

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6
【PowerShell】繰り返し文(While, For)について

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7
【Windows10】コマンドでPCの負荷状況を確認する

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8
【PowerShell】プログラムと機能にあるアプリの一覧を表示する

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9
【Active Directory】Group Policyが適用されない場合の対処方法

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10
【Windows Server 2019】NTPサーバーと同期する方法

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-WordPress
-, ,


Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637