セキュリティ対策の一つに「キャプチャ」と呼ばれる認証方式があります。
キャプチャとは、簡単なテストに答えることで、アクセス者が人間であることを証明し、
コンピュータでアクセスしていないことを証明するためのものです。
今回そんなキャプチャを有効化するだけで使うことができるプラグイン、
『WP Limit Login Attempts』の使い方を解説します。
WordPress プラグインのインストール・削除・更新
WP Limit Login Attemptsの使い方
WP Limit Login Attemptsの設定は、管理画面の左メニューの「設定」の中に追加された
「WP Limit Login」から行います。これをクリックし、設定画面に移ります。
上記の設定画面を見ると分かりますが、無料のプラグインでは操作ができません。
操作はできませんが、デフォルトの設定で機能は働いています。
そのために設定は不要です。設定内容についてだけ確認しましょう。
Number of login attempts | 最大試行回数 |
Lockdown time in minutes | 最大ロック回数後のログイン操作禁止時間 |
Number of attempts for captcha | 最大キャプチャ試行回数 |
Enable captcha | キャプチャの有効化(無料は強制で有効化) |
有効化後のログイン画面
プラグインを有効化した後、ログイン画面を確認すると次のような画面が表示されます。
ここで表示される文字列(別パターンではアルファベットも含まれます)を入力することで、
初めて本来のログイン画面に移ることができます。
入力を間違えた場合は、次のキャプチャが繰り返し表示されます。
アクセスエラーの表示確認
ログイン失敗時には次のような画面が表示されます。
「Login Failed:Sorry..!Wrong information..!〇 attempts remaining..!」
ただ、この表示方法では4回までは試行しても問題がないことを伝えてしまいます。
アクセスエラーの表示内容を変更する
4回までは試行しても問題がないというのは立派な脆弱性です。
極端な話、1万台のPCがあれば4万回は試行できるということになります。
そのため、このプラグインを無料で使うのであればメッセージだけは変更する必要があります。
今回は、残りの試行回数を隠すように変更します。
プラグインの編集
管理画面の左メニューの「プラグイン」の中の「プラグイン編集」画面に移ります。
右上のプラグイン選択から「WP Limit Login Attempts」を選択します。
今回設定を行うファイルは「WP-limit-login-attempts.php」なので
プラグインファイルはそのままで問題ありません。
編集箇所は144行目です。144行目を全て削除し、保存をします。
改変後のメッセージを確認すると最大試行回数を引き継いだまま
「Login Failed:Sorry..!Wrong information..!〇 attempts remaining..!」の表示が
「Login Failed:Sorry..!Wrong information..!」に代わります。
5回も失敗するような人であれば、そもそも正しいアクセス者ではありません。
残りの試行回数を隠しても問題はないでしょう。
ファイル更新ができない場合の対処方法
ファイル更新を行うと「致命的なエラーをチェックするためにサイトと通信できないため、PHP の変更は取り消されました。SFTP を使うなど、他の手段で PHP ファイルの変更をアップロードする必要があります。」と表示されることがあります。
こうなるとWordPress上で何度試行しても更新が出来ないので、Xserverから編集を行います。
Xserverから対象ファイルまでのアクセス方法は次の通りです。
「インフォパネル」⇒「ファイルマネージャ(ログイン)」
⇒「サイトドメイン(このサイトならmeredy.org)」
⇒「public_html」⇒「wp-content」⇒「plugins」
⇒「wp-limit-login-attempts」
⇒「wp-limit-login-attempts.php」にチェックを入れ、
ファイル操作から「編集」を選択肢、ファイルを編集します。
サブドメインを利用している場合のアクセス方法は次の通りです。
「インフォパネル」⇒「ファイルマネージャ(ログイン)」
⇒「サイトドメイン(このサイトならmeredy.org)」
⇒「public_html」⇒「サブドメイン」
⇒「wp-content」⇒「plugins」
⇒「wp-limit-login-attempts」
⇒「wp-limit-login-attempts.php」にチェックを入れ、
ファイル操作から「編集」を選択肢、ファイルを編集します。
まとめ
このプラグインは無料でキャプチャを使うことができますが、大きな欠点があります。
それは無料のプラグインではログイン失敗時の履歴が確認できないということです。
※有料のプラグインで確認できるかは確認していません。
もし無料で使う場合は、必ず他のログイン履歴を残せるプラグインと組み合わせ、
より強いセキュリティ環境を作るようにしましょう。
[…] 『WP Limit Login Attempts』の使い方 […]