ワードプレス(WordPress)のセキュリティ対策プラグイン Login Lockdownの設定方法と使い方を解説します。
- Login Lockdown の使い方と詳細な設定方法がわかります
Login Lockdownで実現できること
Login LockdownはWordPressのログイン画面にキャプチャを追加し、ボット(不正なプログラム)や攻撃者が不正にログインするのを防止したり、指定回数以上のログイン失敗で当該IPアドレスをブロックする機能を備えたプラグインです。
他のセキュリティ対策用プラグインにはないユニークな機能は、キャプチャが足し算の答えになっており、自動ボットからログイン試行を防ぐのに効果があります。
設定画面は基本的には全て英語です。
見出し等の一部だけ日本語で表示されるので、英語が苦手な場合はブラウザの翻訳機能などを使う必要があります。
Login Lockdownの主な機能
Login Lockdown 無料版の主な機能は次の通りです。
- ログイン画面にキャプチャ追加:数字の足し算の答えを入力
- ログイン失敗が指定回数を超えると、そのIPアドレスからのログインを無効
- 失敗したログイン試行のIPアドレスとタイムスタンプを記録
これらの機能の詳細と設定方法は後述しています。
無料版と有料版の違い
無料版では主に前述した機能だけですが、有料版は国別ブロックやファイアウォール機能などが使用できます。
Login Lockdownのインストール方法
Login LockdownをWordPressにインストールする方法を解説します。
WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”Login Lockdown ”と入力すると下に検索結果が表示されます
- ”Login Lockdownの「今すぐインストール」ボタンをクリックします
“Login Lockdown ”のインストール完了画面↑Login Lockdown のインストールが完了すると有効化ボタンが表示されるのでクリックします。
“Login Lockdown”有効化後に表示されるメッセージ↑プラグインを有効化すると上記メッセージが表示されるので今すぐリロードするボタンを押します。
“Login Lockdown”リロード後に表示される案内メッセージ↑非表示を押します。
設定画面に移動したい場合はメッセージ内のテキストリンクをクリックします。
“Login Lockdown “を有効化すると表示されるプラグイン画面↑これでLogin Lockdownのインストールと有効化は完了です。
Login Lockdownの設定
Login Lockdown プラグインを有効化するとダッシュボード(管理画面)の設定の中に「WP セキュリティ」が表示されます↓
ダッシュボード(管理画面)の設定の中にある「Login Lockdown」Login Lockdownプラグインの設定画面はダッシュボード(管理画面)の設定の中の「Login Lockdown」をクリックします。
Login Lockdownの設定項目
Login Lockdown には下記の8項目あります。
- ログイン保護
∟ 基本
∟ 高度
∟ ツール - 作動状況
∟ 締め出した数
∟ ログイン失敗数 - 国別ブロック※有料版のみの機能
- 2要素認証※有料版のみの機能
- キャプチャ
- クラウド保護※有料版のみの機能
- 一時的アクセス※有料版のみの機能
- ★PRO※有料版の案内画面
以降の画像内の設定は全てデフォルト状態です。
ログイン保護
ログイン保護には下記3つの項目があります。
- 基本:ログイン試行最大許容回数やロックアウト時間の長さ、ホワイトリストなどを設定
- 高度:ボットをブロックしたり、存在しないユーザー名でログインを即ブロックなどの設定。有料版のみの機能
- ツール:リカバリURLや設定のエクスポート/インポート
基本
Login Lockdownの設定画面 ログイン保護の「基本」| 項目名 | 説明 | 初期値 |
|---|---|---|
| Max Login Retries | ログイン試行最大回数 | 3回 |
| Retry Time Period Restriction | ログイン制限時間 | 5分 |
| Lockout Length | ロックダウン時間 | 1分 |
| Log Failed Attempts With Non-existant Usernames | 存在しないユーザー名を使ったログインをログに記録 | 有効 |
| Mask Login Errors | ログインエラーの詳細(無効なユーザー名、無効なパスワード、無効なCAPTCHA値)を非表示にする | 無効 |
| Block Type | ロックアウト時にWebサイト全体をブロックする or ログイン画面のみをブロック | ログイン画面のみ |
| Block Message | ロックアウト時に表示されるメッセージ | We’re sorry, but your IP has been blocked due to too many recent failed login attempts. |
| Whitelisted IPs | ロックアウトされないIPアドレスを登録 | 現在のIP |
| Show Credit Link | ログイン画面にプラグインの宣伝リンクを表示 | 無効 |
高度
Login Lockdownの設定画面 ログイン保護の「高度」| 項目名 | 説明 | 初期値 |
|---|---|---|
| Password Check ※有料版 | ブルートフォース辞書攻撃に脆弱なパスワードをチェック | – |
| Anonymous Activity Logging ※有料版 | 訪問者のIPアドレスをハッシュ値として保存 | 無効 |
| Block Bots ※有料版 | ボット(不正プログラム)がログイン画面からログインしようとするのをブロック | 無効 |
| Block Login Attempts With Non-existing Usernames ※有料版 | 存在しないユーザー名でログインした場合は即ブロック | 無効 |
| Add Honeypot for Bots ※有料版 | 非表示の「ハニーポット」フィールドを追加して、ボットがログインするのを防止 | 無効 |
| Cookie Lifetime ※有料版 | ログイン画面でで「ユーザ名を保存」オプションがチェックされている場合のCookie有効期間 | 14日間 |
| Wipe Data on Plugin Delete | プラグイン削除時に全てのデータを消去 | 無効 |
ツール
Login Lockdownの設定画面 ログイン保護の「ツール」| 項目名 | 説明 |
|---|---|
| Email Test | サイトから送信したメールの受信テスト |
| Recovery URL | ロックアウトされてログインできなくなった時に使うURL |
| Import Settings | 設定ファイルのインポート |
| Export Settings | 設定ファイルをエクスポート(ダウンロード) |
MScan
MScan(マルウェアスキャナー)には2つの項目があります。
- 締め出した数
- ログイン失敗数
締め出した数
Login Lockdownの設定 作動状況の「締め出した数」画面↑画面の下に現在ロックアウトされているIPアドレスが表示されます。
ユーザエージェントや位置は有料版でしか表示されないので確認できません。
ログイン失敗数
Login Lockdownの設定 作動状況の「ログイン失敗数」画面↑画面の下にログインに失敗したログインユーザ名とIPアドレスが表示されます。
ユーザエージェントや位置は有料版でしか表示されないので確認できません。
国別ブロック
Login Lockdownの設定画面 国別ブロック↑国別ブロックは有料版のみの機能です。
特定の国からのアクセスをブロックしたり、アクセス時に任意のメッセージを表示できます。
2要素認証
Login Lockdownの設定画面 2要素認証↑2要素認証は有料版のみの機能です。
メールを使った2段階認証を設定できます。
キャプチャ
Login Lockdownの設定画面 キャプチャキャプチャはボット(不正プログラム)によるログインを防止できる機能です。
組み込みキャプチャ(Built-in Captcha)のみ無料版でも使用できます。
初期設定の状態ではキャプチャ機能は無効(Disabled)になっています。
クラウド保護
Login Lockdownの設定画面 クラウド保護↑クラウド保護は有料版のみの機能です。
AWSなどのクラウドからのアクセスをブロックできます。
一時的アクセス
Login Lockdownの設定画面 一時的アクセス↑一時的アクセスは有料版のみの機能です。
有効期限付きのリンクを作成でき、WordPressへの一時的なアクセスを付与できます。
★PRO
Login Lockdownの設定画面 ★PRO↑有料版の案内画面が表示されます。
おすすめの設定
Login Lockdownの無料版での必須の設定項目は少ないです。
デフォルトでは3回ログインに失敗すると1分間ログインできない設定になっています。
おすすめ設定は次のとおりです。
ログイン保護の基本
- Lockout Length(ロックダウン時間):5分 ⇒ 60分
- Mask Login Errors(ログインエラーの詳細を非表示) :無効 ⇒ 有効
ログイン保護のツール
- Recovery URLをテキスト等に控える
キャプチャ
- Captcha:Disabled(無効) ⇒ Built-in Captcha (組み込みキャプチャ)
Recovery URL
Login Lockdown ログイン保護のツールのRecovery URL画面↑ログイン保護のツールにあるRecovery URLボタンをクリックすると表示されるURLをメモ帳等で保存します。
万が一、ロックアウトしてWordPressのログイン画面が表示されなくなってしまた場合、このURLにアクセスするとログインできるようになります。
Reset Recovery URLボタンを押すと再生成され、以前のURLは無効になります。
キャプチャの設定方法と使い方
Login Lockdownプラグインの目玉機能のキャプチャを使う方法を解説します。
Login Lockdownの設定 キャプチャ画面- CaptchaをDisabled(無効)からBuilt-in Captcha (組み込みキャプチャ)に変更する
- Verify Captcha(キャプチャを検証)をクリックする
Login Lockdownの設定 キャプチャ検証画面↑キャプチャの計算結果をボックスに入力してVerify Captchaボタンをクリックします。
上記画像の場合は6+9なのでボックスに15を入力します。
キャプチャは引き算の場合もあります
Login Lockdownの設定 キャプチャ検証 正常画面キャプチャ検証が正常である画面が表示されるのでOKボタンをクリックします。
変更を保存ボタンをクリックします。
キャプチャ有効のWordPressログイン画面
Login LockdownのBuilt-in Captchaが表示されたWordPressのログイン画面↑キャプチャ機能を有効にするとWordPressのログイン画面に
“Are you human ?Please solve:計算式”が表示されます。
Login LockdownのBuilt-in Captcha 計算誤り時の通知↑計算を間違えると”CAPTCHA 認証に失敗しました”と表示されます。
ロックアウト画面
Login Lockdownのロックアウト画面↑指定回数以上ログインに失敗するとロックアウト画面が表示されます。
ロックアウト画面のメッセージです↓
We’re sorry, but your IP has been blocked due to too many recent failed login attempts. (申し訳ありませんが、最近ログインに失敗した回数が多すぎるため、あなたの IP はブロックされました。)
If you are a user with administrative privilege please enter your email below to receive instructions on how to unblock yourself. (管理者権限を持つユーザーの場合は、以下に電子メールを入力して、ブロックを解除する方法の手順を受信してください。)
ロックアウト解除
ロックアウト画面のテキストボックスにWordPressに登録しているメールアドレスを入力し、Send unblock emailボタンを押すとロックアウト解除リンクがメールアドレス宛に送信されます。
Login Lockdownのロックアウト解除メール送信済み画面↑ロックアウト解除リンクをメールアドレス宛に送信した旨の案内画面です。
案内画面のメッセージです↓
If an administrator having the email address ○○@yublog.jp exists, an email has been sent with instructions to regain access.
(電子メール アドレス ○○@yublog.jp を持つ管理者が存在する場合、アクセスを回復するための指示が記載された電子メールが送信されています。)
If you are a user with administrative privilege please enter your email below to receive instructions on how to unblock yourself.
(管理者権限を持つユーザーの場合は、以下に電子メールを入力して、ブロックを解除する方法の手順を受信してください。)
Login Lockdownのロックアウト解除リンクが載っているメールhe IP○○〇 has been locked down and someone submitted an unblock request using your email address ○○@yublog.jp
If this was you, and you have locked yourself out please click this link which is valid for 1 hour.
Please note that for security reasons, this will only unblock the IP of the person opening the link, not the IP of the person who submitted the unblock request. To unblock someone else please do so on the Login Lockdown Activity Page
(IP○○〇はロックダウンされており、誰かがあなたの電子メール アドレス ○○@yublog.jp を使用してブロック解除リクエストを送信しました。
これがあなたで、自分自身をロックアウトしている場合は、このリンクをクリックしてください。このリンクは 1 時間有効です。
セキュリティ上の理由から、これによりブロックが解除されるのはリンクを開いた人の IP のみであり、ブロック解除リクエストを送信した人の IP は解除されないことに注意してください。他の人のブロックを解除するには、ログイン ロックダウン アクティビティ ページで行ってください。)
メール本文中のテキストリンク “this link”をクリックするとログイン画面にアクセスできます。
実際にLogin Lockdownを使った感想とメリットデメリット
実際にLogin Lockdownを使ってみた感じたメリットとデメリットです。
Login Lockdown のメリット
無料版でも不正アクセスを防止するのに有効な機能が使えます。
使える機能がログイン画面へのキャプチャ表示とロックアウトが大半なので、導入と設定が簡単で、セキュリティに関する専門的な知識がほとんど必要ありません。
キャプチャが足し算または引き算なので、他のプラグインのランダムで意味のない文字と数字の羅列だけのキャプチャとは大きく異なり、文字が見難くのが原因で間違って入力する可能性が低いです。このユニークな点が当プラグイン最大のメリットです。
Login Lockdown のデメリット
ユニークで使い易いキャプチャを使った、ボットからの不正ログイン防止に特化したプラグインなので、他のセキュリティ対策用プラグインと比べて他の機能が少ない点がデメリットです。
とくに、ログインに失敗した履歴は残るので確認できますが、成功したログイン履歴は確認できないので、なりすましによる不正ログインを検知できない点は残念です。
まとめ
Login Lockdownは不正ログイン防止機能がユニークで使い易いことが特長です。
キャプチャは簡単な算数の答えを入力するので、見難くて意味のない文字列を入力させるキャプチャよりも圧倒的に入力間違いが少なく、労力が必要ないのでストレスが掛かりません。
不正ログインン対策で使い易いキャプチャを探している場合にはおすすめのプラグインです。
