Limit Login Attempts:ログイン画面への不正アクセスを検出するプラグイン

Limit Login Attemptsは、wordpressのログイン画面への総当り攻撃(ブルートフォースアタック)などを検出するプラグイン。

WordPressのログイン画面は、デフォルトでは、/wp-login.phpとなっており、ここに正しいIDとPassを入力すれば、誰でもアクセスできてしまう。
それを力業で行って、このセキュリティをやぶってしまうのが、総当り攻撃(ブルートフォースアタック)。IDやPASSをひたすら入力しまくって、セキュリティを突破する。当然、人力ではなくプログラムによるbotではあるが。

この攻撃に対応するプラグインが、このLimit Login Attempts。下記の様な機能を持っている。

  • 間違ったログインをした際に再試行を許可する回数を設定できる。
  • 設定したログイン試行回数を超えたときはログインを自動的にロックする。その後設定した時間の間は、何をしてもログインできなくなる。
  • ログインの試行回数をリセットする時間を設定できる。
  • これら不審な挙動を確認した際には、管理者にメールで知らせてくれる。
  • その他。

実際、ログイン画面への不審なアクセスがあったので、このプラグインを導入してみた。

不審アクセスを監視していた感じでは、アクセスしてくるマシンはIPを偽造して、見かけ上かなり多くのIPからアクセスしてPASSを順次入力してくる。連続して同じマシンからはアクセスしてこない。総当り攻撃(ブルートフォースアタック)の場合、PASSをかたっぱしから入力する必要があるので、これを繰り返すわけだが、同じIPが時を挟んで見受けられる。どうやら無限ではない模様。

このLimit Login Attemptsでは、いちおう不審アクセスのIPは最大24時間保存できるので、このプラグインはそれなりに有効かなという気がする。