運営に携わっているポータルサイトで、管理者アカウントでログインしようとすると、エラーが出るようになりました。
導入しているWordPressプラグイン「Theme my login」で一定回数ログインに失敗すると、24時間ログイン出来ない様にしているんですが、それに引っかかっている様子。
でも、そんなログイン何度も失敗していないし、アクセスすらしていないのにおかしい…
これは不正アクセスか…?
ということで、不正アクセスから守るためにLogin LockDownを導入してみました。
目次
- そもそもなぜ不正アクセスが?
- Login LockDownってどんなプラグイン?
- Login LockDownの導入
- Login LockDownの設定
- 導入結果
- 終わりに
そもそもなぜ不正アクセスが?
最初の設定が悪いといえばそれまでですが、大元を管理するアカウント名が「admin」だったことが一番の原因だと思います。
あとはログインページもよくある感じなので、アクセスしやすかったんじゃないかと。
この辺り、管理者アカウントをadmin以外にしているこのブログとかは、そんな不正アクセスなんて微塵も感じません。
ただアクセスがないだけなのかもしれませんけど…
管理者アカウントはadmin以外、できればログインページも一般的でないURLになってたりするといいのかなと思います。
Login LockDownってどんなプラグイン?
Login LockDownはログインを失敗した場合に、そのIPアドレスと時間を記録するプラグイン。
ついでに、一定回数ミスしたら一定時間ログイン出来ない様にできます。
この辺りはTheme My Loginと同じですね。
Login LockDownの導入
Login LockDownは公式プラグインなので、「WordPress › Login LockDown « WordPress Plugins」からダウンロードするか、プラグインの追加から「Login LockDown」で検索してください。
一つ注意すること
実はこのLogin LockDownはプラグインの更新が止まっています…。
ちょっと微妙な気がします。
一定回数ミスしたら一定時間ログインさせないようにするだけなら、「Theme My Login」か「Simple Login Lockdown」のほうがいいかもしれません。
(「Simple Login Lockdown」は試してませんけど…)
Login LockDownの設定
プラグインをインストールすると、左メニュー設定のところに「Login LockDown」が追加されていますので、こちらから設定を行います。
設定といっても難しくないです。
Max Login Retries(最大ログイン回数)
一定時間の間にこの回数分失敗すると、ログインできなくなります。
一定時間は下の「Retry Time Period Restriction 」で設定します。
初期値:3
Retry Time Period Restriction (minutes)
この時間内に一定回数分失敗すると、ログインできなくなります。
一定回数は上の「Max Login Retries」
初期値:5
Lockout Length (minutes)
上の設定時間内に設定数失敗した場合、この時間分だけ該当IDではログインできなくなります。
初期値:60
Lockout Invalid Usernames?
ユーザー名を無効にするか?
すいません、ここちょっと意味がわかってないです。
パスワードを間違えただけじゃなくて、ユーザー名を間違えた時もログイン失敗にするかどうか。ってことでしょうか?
でも、何も設定しなくてもユーザー名を間違えたらエラーでますよね?
この辺りが2年近く更新されていない弊害かもしれないです。
初期値:No
Mask Login Errors?
デフォルトのログインエラーを非表示にするかどうか
初期値:No
これで設定はできました。
時間や回数の設定は適時設定を。
ユーザー名に関しては、普通にWordPressでエラー出ませんっけ?
導入結果
テストしてみます。
ログイン画面に「プロテクトしてるよ」って出てます。
ログインに失敗すると、通常のエラーメッセージに変わって、Login LockDownのエラーメッセージが。
通常のと違うのは、「ユーザー名かパスワードかどっちかが違うよ」
という内容なので、こっちのほうが良さ気ですね。
何度か失敗したあとに、ログイン。
あれ…
普通にログインできた…
そして設定画面を確認。
うん、変わってない…
あれ?IPアドレスと時間とれたりするんじゃないの?
ローカルでやってるからいけないのかなぁ…
終わりに
結局、どういう動作をするのか不明でした…。
ローカルでテストしているからか、WordPressのバージョンとあわなかったのか…
後日また別のサイトでテストしてみたいと思います。
そいぎ~。