ワードプレス(WordPress)のセキュリティ対策プラグイン Limit Login Attempts Reloadedの設定方法と使い方を解説します。
- Limit Login Attempts Reloaded の使い方と詳細な設定方法がわかります
Limit Login Attempts Reloadedで実現できること
Limit Login Attempts ReloadedはWordPressの管理画面へのログイン試行回数を制限することで、パスワードの総当たり攻撃(ブルートフォースアタック)を防止する機能を備えたプラグインです。
プラグインのダッシュボードや設定画面は一部日本語ですが、英語の箇所も混在しています。
無料版と有料版があり、無料版だとほぼログイン試行制限機能だけしか利用できませんが、メールアドレス認証(登録)することで一部の有料版の機能が使える”マイクロクラウド”が利用できます。
Limit Login Attempts Reloadedの主な機能
Limit Login Attempts Reloaded 無料版の主な機能は次の通りです。
- WordPress管理画面へのログイン試行回数を制限
- ログイン失敗が指定回数を超えると、そのIPアドレスからのログインを制限
- メールアドレスにロックアウト通知を送信
これらの機能の詳細と設定方法は後述しています。
無料版と有料版の違い
無料版では主に前述した機能だけですが、有料版はログインファイアウォールや国別ブロック機能などが使用できます。
Limit Login Attempts Reloadedのインストール方法
Limit Login Attempts ReloadedをWordPressにインストールする方法を解説します。
- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”Limit Login Attempts Reloaded ”と入力すると下に検索結果が表示されます
- ”Limit Login Attempts Reloadedの「今すぐインストール」ボタンをクリックします
↑Limit Login Attempts Reloaded のインストールが完了すると有効化ボタンが表示されるのでクリックします。
↑これでLimit Login Attempts Reloadedのインストールと有効化は完了です。
Limit Login Attempts Reloadedの初期設定
Limit Login Attempts Reloadedプラグインを有効化すると初期設定ウィザードが表示されます。
※以降の画面はすべてWebブラウザの翻訳機能を使って日本語に翻訳した画面を載せています。
↑有料版を使わない場合は”スキップ”を押します。
↑ロックアウトが起きた場合の通知用メールアドレスを入力します。
初期状態はWordPressの管理者メールアドレスが入力されています。
↑有料版を使わない場合は”スキップ”を押します。
※無料の限定アップグレードは後からでも設定可能です。
↑以上で初期設定ウィザードは終了です。
無料の限定アップグレード(マイクロクラウド)有効化
前出の初期設定ウィザード画面でスキップしても、Limit Login Attempts Reloadedのダッシュボード画面から無料の限定アップグレード(マイクロクラウド)を有効化できます。
↑”始める”をクリックします。
↑認証メール送信先のメールアドレスを入力します。
初期状態はWordPressの管理者メールアドレスが既に入力されています。
チェックマークを入れて”続行”をクリックします。
↑
↑登録したメールアドレス宛にも有効化完了通知が届いています。
IDやキーを登録しなくてもマイクロクラウドの機能は利用できます。
マイクロクラウドを有効化しないと、有益な機能が大幅に制限されるので有効化することをおすすめします
Limit Login Attempts Reloadedの設定
プラグインを有効化するとダッシュボード(管理画面)の中に「Limit Login Attempts」が表示されます↓
Limit Login Attempts Reloadedプラグインの設定画面はダッシュボード(管理画面)の設定の中の「Limit Login Attempts」をクリックします。
Limit Login Attempts Reloadedの設定項目
Limit Login Attempts Reloadedには下記6項目の設定項目があります。
以降は無料のマイクロクラウドを有効化した状態の項目です。
無料版はログインファイヤーウォールがログに変わります。
- ダッシュボード
- 設定
- ログインファイヤーウォール
※無料版はログ - デバッグ
- ヘルプ
- プレミアム/拡張機能
以降の画像内の設定は全てデフォルト状態です。
ダッシュボード
↑ログインの失敗と成功状況の表示や、各設定項目への内部リンクがあります。
設定
設定には下記の項目があります。
- アプリ設定
∟ アクティブアプリ
∟ ローカルアプリ
∟ ログイン試行回数の制限 クラウドアプリの再読み込み - 一般設定
アプリ設定
↑アクティブアプリで無料版(ローカル)と有料版(クラウドアプリ(プレミアム版))を切替えます。
マイクロクラウドを有効化している場合は”クラウドアプリ(プレミアム版)”を選択します。
“ログイン試行回数の制限 クラウドアプリの再読み込み”はクラウドアプリ(プレミアム版)選択時に有効になる設定項目です。
項目名 | 説明 | 初期値 |
---|---|---|
セットアップコード | 有料版を利用する際に利用するコード | – |
構成 | テキストコードをカスタマイズ(編集)可能 | – |
再試行回数の制限 | ログイン試行最大回数 | 2回 |
ロックアウト間隔 | ロックダウン時間 | 20分 |
ブロック XML-RPC | XML-RPCブロックのON/OFF | off |
自動IPブロックリスト | 3回ロックアウトしたIPアドレスをブロックリストに登録する機能のON/OFF | on |
↑”ローカルアプリ”はアクティブアプリを無料版(ローカル)に設定している時に有効化される項目です。※クラウドアプリ(プレミアム版)または、無料のマイクロクラウドを使う時は使用しません。
一般設定
項目名 | 説明 | 初期値 |
---|---|---|
GDPR 準拠 | EU一般データ保護規則に則ったメッセージをログイン画面に表示 | 無効 |
GDPRメッセージ | ログイン画面に表示するメッセージをカスタマイズ(編集)可能 | – |
ロック通知 | ロックアウト通知メールの送信先 | – |
トップメニューに表示 | WordPressダッシュボード画面上部に内部リンク”LLAR”を表示 | 有効 |
左のメニュー項目を表示 | WordPressダッシュボード画面左側に内部リンク”Limit Login Attempts Reloaded”を表示 | 有効 |
ダッシュボードウィジェットを非表示にする | WordPressダッシュボードに表示されているステータスを非表示 | 無効 |
メニュー警告アイコンを表示 | 1日のログイン試行回数が100回を超えた場合に警告アイコンを表示 | 有効 |
ログインファイヤーウォール
ログインファイヤーウォールはアクティブアプリをクラウドアプリ(プレミアム版)または、無料のマイクロクラウドに設定している時に有効化される項目です。
※無料版(ローカル)に設定している時は”ログインファイヤーウォール”ではなく、”ログ”が表示され、表示内容が異なります。
↑ログイン成功時のログ、ロックアウト履歴、ログイン試行のイベントログ、国別アクセスルール、”ログインファイアウォールのアクセスルール、IPアクセスルールが設定可能です。
ログインファイアウォールのアクセスルールとIPアクセスルールは外部リンク先(ドキュメンテーション)にルール記述方法の詳細が載っています。
ログ ※無料版(ローカル)選択時のみ表示
↑ログ画面はアクティブアプリを無料版(ローカル)に設定している時のみ表示されます。
総ロック数、許可リスト、拒否リスト、ロックアウト履歴が確認できます。
デバッグ
↑デバック時に使う情報が表示されます。
ヘルプ
↑各機能のドキュメント画面への外部リンクの一蘭が表示されています。
プレミアム/拡張機能画面
↑有料版の案内画面が表示されます。
ログイン失敗時の表示とロックアウト通知メール
↑WordPress管理画面のログイン試行回数上限に達して、ロックアウトした時の表示メッセージです。
↑ログイン試行回数上限を超えるとロックアウト通知メールが届きます。
実際にLimit Login Attempts Reloadedを使った感想とメリットデメリット
実際にLimit Login Attempts Reloadedを使ってみた感じたメリットとデメリットです。
Limit Login Attempts Reloaded のメリット
メールアドレスを登録するだけで無料で利用できるマイクロクラウドでも不正アクセスを防止するのに有効なログイン制限機能が使え、カスタマイズ可能です。
課金なしでもで国別ブロック機能が使えますが、不正アクセスする側はプロキシサーバー等の踏み台を使っているので、効果は薄いです。
Limit Login Attempts Reloaded のデメリット
無料で使えるマイクロクラウドの登録方法が少々複雑で判り難いです。
他のセキュリティ対策プラウグインよりも導入する難易度が高い割には、有用な機能はログイン制限機能だけです。
まとめ
Limit Login Attempts Reloadedはログイン制限機能が充実していることが特長です。
設定項目や初期設定などが少々複雑で面倒な点がデメリットです。
機能がほぼログイン制限機能だけなので、導入するのに労力がかかる割には、使い勝手が良くないので、他のセキュリティ対策プラグインを使ったほうがよいです。
ほぼ同じ機能が使える、Login Lockdown やSiteGuard WP Pluginのほうが、設定方法が判りやすくシンプルなのでおすすめです。