強盗が家に侵入するためにさまざまな鍵を繰り返し試しているところを想像してみてください。同様のことがブルートフォース攻撃中に発生し、ハッカーがパスワードの組み合わせを数千回試してサイトへのアクセスを試みます。
それは恐ろしいことに聞こえるかもしれませんが、幸いなことに、ログイン試行回数を制限することで、私たちが行っているようにウェブサイトを簡単に防御できます。🔒
これにより、ロックアウトされる前にログインを試行できる回数に制限が設けられ、ハッカーが総当たり攻撃で侵入する機会はほとんどなくなります。
この記事では、WordPressサイトでのログイン試行回数の制限を設定するプロセスをガイドします。ウェブサイトのセキュリティにとってなぜ重要なのかを探り、技術専門家でなくても手順を説明します。
このガイドでカバーする内容の簡単な概要を以下に示します。
- WordPressでログイン試行回数を制限すべき理由とは?
- WordPressでログイン試行回数を制限する方法
- WordPressウェブサイトを保護するためのプロのヒント
- Frequently Asked Questions About Limiting Login Attempts
WordPressでログイン試行回数を制限すべき理由とは?
ブルートフォース攻撃は、攻撃者が試行錯誤を使用してログイン情報を推測するハッキング方法です。
彼らは自動化されたソフトウェアを使用して、数千のユーザー名とパスワードの組み合わせを試行し、最終的に機能するものを期待しています。
デフォルトでは、WordPressはユーザーが何度でもパスワードを入力できるようにしています。この機能はハッカーによって悪用される可能性があり、スクリプトを使用して、サイトへのアクセスを取得するまで無限の組み合わせを実行します。
ログイン試行が失敗した回数を制限することで、これらの攻撃を簡単に停止できます。
一定回数の試行が失敗した後、システムはそのユーザーを一時的にロックアウトし、自動化されたパスワード推測を不可能にします。
とはいえ、WordPressでログイン試行回数を制限する方法を見ていきましょう。
WordPressでログイン試行回数を制限する方法
まず最初に行うべきことは、Limit Login Attempts Reloadedプラグインをインストールして有効化することです。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
このチュートリアルには無料版で十分です。
有効化したら、設定 » Limit Login Attempts ページにアクセスし、一番上の「設定」タブをクリックしてください。
デフォルト設定はほとんどのウェブサイトで機能しますが、サイトのセキュリティプラグインの設定方法を順を追って説明します。
GDPR法に準拠するために、「GDPR準拠」チェックボックスをクリックすると、ログインページにメッセージが表示されます。GDPRの詳細については、WordPressとGDPR準拠に関するガイドをご覧ください。
次に、誰かがロックアウトされたときに通知を受け取るかどうかを選択します。必要に応じて、通知が送信されるメールアドレスを変更できます。デフォルトでは、ユーザーが3回ロックアウトされたときに通知されます。
その後、「ローカルアプリ」セクションまでスクロールダウンすると、ログイン試行の再試行回数と、ユーザーが再度試行できるようになるまでのロックアウト時間を定義できます。
まず、ログイン試行回数をいくつまで許可するかを定義する必要があります。その後、失敗した試行回数が上限を超えた場合にユーザーが待機する時間を分単位で選択します。デフォルト値は20分です。
また、ユーザーが指定された回数ロックアウトされた後の待機時間を増やすこともできます。たとえば、デフォルト設定では、ユーザーが4回ロックアウトされると、24時間ログインを試みることができなくなります。
「信頼されたIPオリジン」設定については、ほとんどのユーザーはそのままにしておくことができます。ただし、CDNや、ウェブサイトファイアウォール(例:SucuriやCloudflare)を使用している場合は、この設定を構成する必要がある場合があります。
プラグインが訪問者の実際のIPアドレスを正しく識別できることを確認するために、ご利用のサービスのドキュメントを確認することをお勧めします。
変更を保存するには、画面下部にある「設定を保存」ボタンをクリックすることを忘れないでください。
🔍 関連記事: このプラグインの詳細については、完全なLimit Login Attempts レビューをご覧ください。
WordPressウェブサイトを保護するためのプロのヒント
ログイン試行回数を制限することは素晴らしい第一歩ですが、真のウェブサイトセキュリティは複数のレイヤーで構成されます。
サイトを安全に保つために、以下の他の重要な対策を実践できます。
- 強力なパスワードを使用する:これは最も基本的なセキュリティレイヤーです。サイトのすべてのユーザーに強力なパスワードを強制し、パスワードマネージャーを使用して管理することをお勧めします。
- Google reCAPTCHAを追加する:ログインページがまだ攻撃を受けている場合は、reCAPTCHAを追加することで、自動化されたボットに対する強力な防御レイヤーがさらに追加されます。
- 定期的なバックアップを維持する:どのウェブサイトも脅威に対して100%安全ではありません。そのため、バックアップは必須です。当社の多くのウェブプロパティでは、サイトのバックアップと移行を処理するためにDuplicatorを使用しています。
- ウェブサイトファイアウォール(WAF)を使用する:ファイアウォールは、悪意のあるトラフィックがサイトに到達する前にブロックするための最良の方法の1つです。強力なWAFとマルウェアクリーニングサービスを含むオールインワンソリューションについては、Sucuriをお勧めします。
ウェブサイトセキュリティに関するさらに詳しいヒントについては、究極のWordPressセキュリティガイドをご覧ください。
ログイン試行回数の制限に関するよくある質問
読者からよく寄せられる、ログイン試行回数の制限に関する質問を以下に示します。
自分のサイトからロックアウトされた場合はどうすればよいですか?
パスワードを複数回間違えると、自分でロックアウトされる可能性があります。この場合、IPアドレスを手動でブロック解除する必要があります。
WordPressでログイン試行回数の制限をブロック解除する方法に関するガイドの簡単な手順に従ってください。
いくつのログイン試行を許可すべきですか?
ほとんどのウェブサイトでは、デフォルト設定のログイン試行回数4回が素晴らしい出発点となります。これにより、サイトのセキュリティを維持することと、正当なユーザーが誤ってロックアウトされないようにすることの間に、強力なバランスが取れます。
ログインページを保護するために他に何ができますか?
ログイン試行回数を制限することに加えて、ログイン画面にセキュリティの質問を追加することで、保護を強化できます。また、WPFormsを使用してログインページをカスタマイズすることで、セキュリティとユーザーエクスペリエンスの両方を向上させることができます。
動画チュートリアル
文章での説明がお好みでない場合は、ビデオチュートリアルをご覧ください。
このチュートリアルで、WordPressでログイン試行回数を制限する方法を学んでいただけたことを願っています。また、WordPressログイン画面にセキュリティ質問を追加する方法に関するガイドや、最高のログインページプラグインの専門家による選択もご覧ください。
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
デニス・ムトミ
追加で提案したいのは、ログイン試行回数の制限と併せて二要素認証を使用することです。この組み合わせはセキュリティの追加レイヤーを提供し、潜在的なハッカーがあなたのWordPressサイトへの不正アクセスを試みるのをさらに困難にします。
イジー・ヴァネック
プラグイン以外の方法、例えば htaccess やそれに類するコンポーネントを使用する方法はありますか? 自分のサーバーを持っており、サイトにこの制限を設けたいと考えています。しかし、すでに多くのプラグインを導入しており、これ以上増やしたくありません。そのため、プラグインなしで実現する方法を探しています。
WPBeginnerサポート
We do not have a recommended way without a plugin, a snippet would be fairly complex which is why we recommend the plugin. We also recommend taking a look at our list of how many plugins can be installed on a site to help remove your fear of having too many plugins
https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
管理者
イジー・ヴァネック
ご返信ありがとうございます。私も別の場所でスニペットを探していましたが、おっしゃる通り、プロセス全体が非常に複雑になり、見つけたスニペットはほとんど機能しませんでした。最終的にあなたのソリューションを使用しましたが、問題なく動作しました。したがって、私にとってはこの問題は解決しました。ウェブサイトのセキュリティを向上させるための素晴らしいヒントに感謝します。
Linda Willis
最近、私たちのサイトが経験している大量のブルートフォース攻撃を停止するプラグインに関する、非常に役立つ記事をありがとうございます。簡単なステップバイステップガイドを使って設定を行い、すでにインストールしました。どのように機能するか楽しみです!
パスワードマネージャーへのリンクもたどりました。皆様のコメントのおかげで、LastPassをもう一度試してみることにしました。数年間Dashlane(無料版)を使用してきましたが、そのいくつかのルールに不満を感じています。LastPassの有料版は、はるかに良い取引のように聞こえます。さて、どうすれば簡単に切り替えられるかを判断する必要があります!
再度ありがとうございます!
Linda
WPBeginnerサポート
Glad our article and recommendations could help
管理者
Adil
ウェブサイトセキュリティに関する優れた記事です。私は多くのウェブサイトでこのプラグインを使用しました。
WPBeginnerサポート
Thank you, glad you found the plugin helpful
管理者
kristyburkholder
こんにちは!少しトピックから外れますが、確立されたブログからアドバイスが必要です。自分のブログをセットアップするのは難しいですか?私はあまり技術的ではありませんが、物事をかなり速く理解できます。自分で作ろうと考えていますが、どこから始めればよいかわかりません。何かヒントや提案はありますか?よろしくお願いします。
WPBeginnerサポート
ブログを開始するのはそれほど難しくありません。ブログの開始方法に関するガイドはこちらにあります:https://www.wpbeginner.com/start-a-wordpress-blog/
管理者
ポール・ジェント
Limit Login Attempts(はい、もっと新しいものに更新する必要があります)を使用していますが、常に攻撃を受けています。自分でウェブサイトにアクセスできるように、新しいユーザーを管理者として追加しましたが、待つ必要はありません。しかし、それでも投稿を作成する前に追い出されてしまいました。
どなたかアドバイスをいただけますでしょうか?
Shyam Chathuranga
はい、その通りです。これまでずっと Limit Login Attempts プラグインを使用していましたが、最近、攻撃者を IP アドレスでブロックするのではなく、すべてのユーザーをブロックするようになりました。
というわけで、そのプラグインにはさよならして、今は別のものを使わなければならないと思います。
ミゲル
最近、ウェブサイトのセキュリティを監視するためにWordFenceをインストールしました。ログイン試行回数を制限する機能があります。そのため、Limit Login Attempts Reloadedを無効にして削除しました。
ただし、WP Admin> Settings内には、Limit Login Attemptsが残っています。これはWPにデフォルトでインストールされていますか?また、いずれにしても、それを削除する方法はありますか?
Wordfenceの設定を上書きしていると思います。
お時間をいただきありがとうございます。
ミゲル
erlindawva
こんにちは、少しトピックから外れますが、ブログでは WYSIWYG エディタを使用するのか、それとも HTML で手動でコーディングする必要があるのかを知りたいと思っていました。もうすぐブログを始めるのですが、コーディングの知識がないので、経験者からアドバイスをもらいたいと思いました。どんな助けでも大変ありがたいです!
WPBeginnerサポート
WordPressにはWYSIWYGエディターが付属しています。また、HTMLを追加して投稿を作成することもできます。
管理者
Jorge Manuel
本日、「最大リトライ回数を超えました」というメッセージが表示されました。しかも、パスワードは完全に正しいのにです!
どうしてこうなるのでしょうか?
このWordPressサイトのセットアップを始めたのはわずか2日前で、無料テーマとタイトル以外にはコンテンツは何もありません。ログインロックダウンをインストールしましたが、有効にはなっていません。
コンテンツがわずか90MB程度の、あまり知られていないサイト名に対して、なぜブルートフォース攻撃があるのか、私には理解できません…
Alam Khan
WPBginnerチーム様
私たちのようなWordPressユーザーのために、これほど膨大で役立つコンテンツを作成していただき、本当にありがとうございます。私はいつもあなたのウェブサイトで解決策を探しており、過去2〜3年間、毎回解決策を得ています。
上記の問題についてコメントするのは今回が初めてです。Limit Login Attemptsプラグインを使用していますが、ウェブサイトを安全に保つのに本当に役立ちます。1日あたり10〜15回のログイン失敗試行が見られますが、時々24時間ロックされるため、私たちも制限されます。Login LockDownも使用して、IPアドレスによる不正な試行をブロックすることは可能ですか?そうすれば、正規のユーザーがブロックされることはありません。
同じウェブサイトで、Limit Login AttemptsプラグインとLogin LockDownプラグインを同時に使用することは可能ですか?
ありがとうございます。
アラム・カーン
創設者
WPBeginnerサポート
Alamさん、こんにちは。
Login LockDownのみを使用し、limit login attemptsとは併用しないことをお勧めします。
管理者
cheryleduryea
うーん、私の最初のコメント(とても長かったのですが)がサイトに食われてしまったようです。なので、書いたことを要約して、あなたのブログをとても楽しんでいると言わせてください。私もブログライターを目指していますが、まだこの分野では新米です。初心者ブロガーに何かアドバイスはありますか?もしあれば、とても感謝します。
agustinpenny920
こんにちは、もちろんこの記事は本当に良いもので、ブログに関して多くのことを学びました。ありがとうございます。
adelaida5489
たくさんのコンテンツや記事がある中で、盗用や著作権侵害の問題に遭遇したことはありますか? 私のブログには、自分で作成したり外部に委託したりしたユニークなコンテンツがたくさんありますが、私の同意なしにウェブ上のあちこちで表示されているようです。コンテンツの盗難を防ぐのに役立つ方法を知っていますか? ぜひ教えていただけると幸いです。
WPBeginnerサポート
WordPressでブログコンテンツのスクレイピングを防ぐ方法については、WordPressでブログコンテンツのスクレイピングを防ぐ方法をご覧ください。
管理者
Suji
Hi
記事をありがとう。参考になりました。
プラグインを使わずにログイン試行回数を制限するオプションはありますか?
YNS
こんにちは、
複数の他のセキュリティ機能も提供する信頼できるプラグインのバンドルがあれば、ログイン試行のような攻撃からWordPressサイトを保護することは、もはやそれほど難しくありません。
この機能が組み込まれていないと不満を言う人々は、機能拡張が何を目的としているのかを理解すべきです。WordPressのエコシステムは単にスケーラブルであり、私はそれを非常に気に入っています。しかし、強力なCDNプロバイダーとのより多くの提携が必要です。中国のような国では、JetPackのような優れたプラグインは、それが接続するすべてのIPがグレートファイアウォールにとって悪意のあるものであるため、役に立たなくなります。
このブログは、特に成功したオープンソースWordPressプロジェクトを宣伝する際に非常に役立ちます。
ブラッド
私のサイトの1つでは、月に100件近くのログイン試行があります。多くの皆さんもそうだと思いますが、ECサイトではなく、ユーザー情報も収集していないのに、奇妙に思えます。Wordfence Securityプラグインをインストールしました。これは、間違ったユーザー名、IPアドレス、さらには国全体によるロックアウトオプションを提供します。
また、非常に役立つことが証明されている他のいくつかの防御機能もあります。インターネットは、何らかの保護なしでは安全ではありません。もし、より良いものをご存知の方がいれば、ぜひ共有してください。
安全なプログラミングを!
ブラッド
エド・ドーガン
こちらの方が好きです
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
マリアン・チャパ
こんにちは。ウェブサイトの管理者パスワードを忘れました。サイトを編集するにはどうすればよいですか?
WPBeginnerサポート
WordPress管理画面からロックアウトされた場合の対処法に関するガイドをご覧ください: WordPress管理画面からロックアウトされた場合の対処法。
管理者
Steve
Jetpackについて言及した人はいません。JetpackにはBrute Protectというモジュールがあります。これは、疑わしいIPアドレスからのユーザーを自動的にブロックします。これは、ウェブ上のスパマーを追跡できるグローバルネットワークに基づいています。
ピート
また別のヒントをありがとうございます。BackupBuddyを使用していますが、自動的にバックアップを実行してくれるだけでなく、ユーザーがサイトを他のサーバーに簡単に移行できる点も気に入っています。特にローカルホストからライブサーバーへの移行の際に便利です。
ドナ
このメールが届いたのは面白いです。なぜなら、私は一晩で世界中から 27 回の試行をサイトで受けているからです。本当に何を求めているのでしょうか?私はソーイングとファッションのブログを持っているのに?彼らは私のサイトを乗っ取って、私に支払いを求めているのでしょうか?この記事の数日前に、かなりの数のハッキングを受けていたので、設定を変更したばかりです。今朝は 27 回以上で、これまでに見た中で最も多いです。
Connor Rickett
それは本当に答えが必要な質問ですか?ブルートフォースハッキングを防ぐ(少なくとも大幅に遅くする)からです。
なぜWPには標準でログイン試行回数制限がないのか、それはまさにブログ記事で取り上げてほしい質問です。
Iza
Limit Login Attempts プラグインを、WP-Ban という別の優れたセキュリティプラグインと組み合わせて使用しています。Limit Login Attempts プラグインは、2回目の(だったと思いますが)ログイン試行失敗後に、ユーザーのIPアドレスとともにメールを送信してくれます。そのユーザーをBanプラグインに貼り付ければ、次回からそのユーザーはログインを試みることすらできなくなります。荒らしに対するもう一層のセキュリティ対策です。
ニカ
Limit Login Attempts は 3 年以上更新されていません。時代遅れです。Login LockDown は機能が悪く、なぜここで推奨されているのか分かりません。
数週間前に WP Cerber を代わりにインストールしました。
強力なソリューションのように見えます。期待通りのことをすべて実行します。
WPBeginnerサポート
Login Lockdownの機能が貧弱であるという意見には同意しません。それはまさに謳っている通りのことをします。WP Cerberはまだテストしていないため、コメントできません。
管理者
ヨリス・ハインドリックス
WordPressには設定可能なパスが必要な時期だと思います。そうすれば、example.com/wp-adminのようなものからようやく解放されます。8年前にこのリクエストを見ました。
Jon Schear
これを数回使用しました。通常、1時間あたり50件のロックアウト通知メールの負荷が0になりました。
Recaptchaも良いですが、実装ははるかに困難です。
ハン・バルク
追加のセキュリティ機能が豊富なので、LLAからWordfenceに切り替えました。
すべてのオペレーティングシステムには、ログイン試行回数を制限する機能があります。WordPressはCMSでありOSではないことは承知していますが、成熟したCMSであり、WordPressコミュニティはデフォルトで有効化された組み込みのログイン制限から多大な恩恵を受けるでしょう。多くのWordPressサイトは、適切に保護されておらず、所有者がセキュリティ意識を持っていないため、無制限のログイン試行に対して「脆弱」です。
次回のWordPressバージョンでログイン制限を組み込み、デフォルトで有効化するのはそれほど難しくないはずですか?
ハワード
Limit Login Attempts は数年間更新されておらず、いくつかの「脆弱性」があります。ログでこれを発見し、同じIPから10分間に約100回の「ロックアウト」が見つかりました。ロックアウトは2回のログイン失敗後に有効になり、72時間ロックされるはずでした。あまりにも速く発生したため、実質的なDoS攻撃となり、停止させるにはかなりの労力が必要でした。スクリプトキディがロックアウトを回避したことは明らかです。そのIPアドレスからの攻撃は、最終的に.htaccessの拒否リストに追加できたときに停止しました。
.
私は、限定的ではありますが有用な情報と通知のために今でもLLAを使用していますが、サイトのセキュリティを維持するためにそれに頼ることはありません。
FranE
一部のサイトで、プラグインがインストールされていないにもかかわらず、この機能が表示されます。特定のテーマに含まれているのでしょうか?例えばGenesisですか?
WPBeginnerスタッフ
この機能を含んでいるテーマは認識していません。テーマはWordPressサイトに機能を追加するものではないことを覚えておいてください。機能はプラグインの下に来ます。もしかしたら、あなたのウェブホストが追加したものかもしれませんね?
Grayhambo
このプラグインはWP 4.0との互換性に問題があるようです。2年以上更新されていません。管理画面にロックされる可能性があります。もしそうなった場合は、cPanelアクセスのようなものを使用して、通常の方法でプラグインを無効にする必要があります。
Joe
私の10個のWPサイトすべてで、まだ正常に機能しているようです
トーベン・ヘイケル・ヴィンザー
良くてシンプルなプラグインのように聞こえますが、代わりに Better WP Security を使用しないのはなぜですか?BWS には、Limit Login Attempts のセクションと、1 つのプラグインで他の多くのセキュリティ問題がすべて含まれています!さらに、BWS は 2013-8-24 に最後に更新されました。Limit Login Attempts は 2012-6-1 以降更新されていません!
編集スタッフ
Torbenさん、この機能を提供するプラグインはたくさんあります。Limit Login Attemptsは、一つのことを非常にうまく行うシンプルなプラグインです。だからといってBWSが悪いソリューションだというわけではありません。非常に良いソリューションです(すでに100万回以上のダウンロードがそれを証明しています)。
管理者
ニカ
私はしばらくの間、自分のサイトでLimit Login Attemptsプラグインを使用しています。今、このプラグインは時代遅れです。正直に教えてください。あなたのサイトでLimit Login Attemptsを使用しましたか?
WPBeginnerサポート
期限切れのため、記事を更新し、login lockdown plugin に置き換えました。
abdelhafidcom
ログインロックダウンプラグインはどうですか?役に立ちますか?このプラグインに置き換えるべきですか?
wpbeginner
@abdelhafidcom それも良いですね。同じことをします。ただ、しばらく更新されていません。
アルバートアルブス
このWordPressセキュリティ情報をご共有いただきありがとうございます。
ColeRuddick
素晴らしいヒントです!WordPressは現在最も広く使用されているプラットフォームなので、サイトのセキュリティはすべてのユーザーが真剣に取り組むべきことであり、このプラグインは非常に役立ちます。共有していただきありがとうございます!
namaserajesh
同意します。Limit Login Attempts は WordPress ブログを保護するための非常に良いプラグインです。
joeytribbiani
Login Lockを推奨します。バージョン3.3.1まで公式に互換性があります。
http://wordpress.org/extend/plugins/login-lock/
merrittsgret
@joeytribbiani Login Lockが最近私のサイトへのアクセスをすべてブロックしました。 Limit Login Attemptsに切り替えます。
Aqif
私は準備されたものを消費したくありません :)
Alan
ありがとうございます!
doug_eike
ブログを保護する方法を探していましたが、あなたのプラグインの提案は役立ちそうですね。見てみます。ありがとうございます!