
WordPressは世界で最も多くの人が利用するブログプラットフォームで、ブログ、CMS、ショッピングサイトなど様々な形式のサイトを構築できます。あなたは自分のサイトのトラフィックが少ないため、セキュリティは重要ではないと思うかもしれません。しかし、多くのハッカーがソフトウェアを使ってインターネット上のサイトを自動スキャンしていることをご存知でしょうか。
サイトの30%がWordPressで構築で構築されているため、多くのハッカーがWordPressを使用したサイトを狙っています。ボットプログラムやハッカーは、ネット上に流出したデータベースを利用してあなたのサイトへのログインを繰り返し試みます。彼らは何度も何度も異なるユーザー情報でログインを試み、成功するとデータを盗んだり、マルウェアを仕込んだり、サイトの全コンテンツを削除したりすることもあります。
一度弱いパスワードを使用してハッカーにスキャンされると、あなたのサイトはハッカーに利用されてしまいます。ブルートフォース攻撃からサイトを守り、安全を保つことは非常に重要です。強力なパスワードを設定したり、adminディレクトリをパスワード保護するなどの他の解決策も試せますが、ブルートフォース保護プラグインをインストールする方がより簡単な方法です。最適なプラグインを選び、処理を任せるだけです。
ブルートフォース攻撃とは
インターネットにおいて、ブルートフォース攻撃とは、特定の辞書や組み合わせを使ってサイトのパスワードを解読する方法です。ハッカーはソフトウェアを使用して、あなたのサイトのパスワードに一致するまで、異なるパスワードを自動的に繰り返し試行します。
ほとんどすべてのサイトが毎日ボットにパスワードをスキャンされていますが、あなたは気づいていないだけです。
9つのWordPressブルートフォースログイン保護プラグイン
- Loginizer
- Limit Login Attempts Reloaded
- WP Limit Login Attempts
- Limit Attempts by BestWebSoft
- Limit Login Attempts
- WPS Limit Login
- Jetpack
- Brute Force Login Protection
- Botnet Attack Blocker
Loginizer
LoginizerはWordPress向けの最高のオープンソースかつ無料のブルートフォースログイン保護プラグインの一つです。Loginizerは80万以上の有効インストール数を誇ります。無料版とプロ版があり、無料版の機能でも悪意のある攻撃からサイトを保護できます。
ログインプログラムの機能は以下の通りです:
- 最大試行回数後にIPをブロック
- 最大ロックアウト後にロックアウト期間を延長
- 最大ロック後に管理者にメール通知を送信
- ブラックリストIP / IP範囲
- ホワイトリストIP / IP範囲
- 失敗した試行のログを確認
- IP範囲を作成
- IP範囲を削除
- GNU GPL バージョン3の下でライセンスされています
- 安全で信頼性が高い
Limit Login Attempts Reloaded
Limit Login Attempts Reloadedは、通常のログインと正しいCookieを使用してログイン試行を制限します。ブルートフォース攻撃を停止するために、Limit Login Attempts Reloadedプラグインは、不正なユーザーがサイトにアクセスできないようにする技術を使用しています。
特徴:
- ログイン時の再試行回数を制限(IPごと)。完全にカスタマイズ可能です。
- 認証済みCookieを使用したログイン回数を同様に制限。
- ログインページで残りの試行回数またはロック時間をユーザーに通知。
- オプションのログとオプションのメール通知。
- IPとユーザー名をホワイトリスト/ブラックリストに登録可能。
- Sucuri Webサイトファイアウォールとの互換性。
- XMLRPCゲートウェイ保護。
- Woocommerceログインページ保護。
- 追加のMU設定を備えたマルチサイト互換性。
- 準拠GDPR標準。この機能を有効にすると、記録されたすべてのIPは難読化(md5ハッシュ)されます。
- カスタムIPソースサポート(Cloudflare、Sucuriなど)
WP Limit Login Attempts
WP Limit Login Attemptsは、もう一つの強力なWordPressブルートフォース保護プラグインです。現在4万以上の有効インストール数があり、評価も4.5点です。
ログイン試行を制限してログイン保護を行い、ブルートフォース攻撃からサイトを保護します。ブルートフォース攻撃は、サイトへのアクセス権を取得する最も簡単な方法として設計されています。ユーザー名とパスワードを何度も繰り返し試行し、ログイン成功するまで続けます。WP Limit Login Attemptsは、ログイン試行回数を一時的に制限し、IPをブロックします。また、CAPTCHA検証を通じてボットを検出します。
Settings > WP Limit Login に移動します。
特徴
- ログインセキュリティ – ログイン試行を制限し、ユーザーのログイン試行を追跡します
- CAPTCHA
- 軽量プラグイン
- ブルートフォース攻撃を遅延させるメカニズム
- 異常なリクエスト時にホームページにリダイレクト(ハッキングツールを停止します)
- GDPR準拠。この機能を有効にすると、記録されたすべてのIPアドレスは難読化(md5ハッシュ化)されます。
Limit Attempts by BestWebSoft
Limit AttemptsプラグインはWordPressのセキュリティソリューションであり、スパムやブルートフォース攻撃からサイトを保護します。各ユーザーのログイン失敗回数を制限し、設定に基づいて一定時間ユーザーのIPをブロックします。これにより、自動スクリプトが大量の異なる組み合わせを生成してサイトをクラックするのを防ぎます。
ブラックリストとホワイトリストの管理、メール通知の受信、ブロックまたはブラックリストに登録されたIPのサイトフォームの非表示、その他データの安全性を保証する高度な機能。
特徴:
- このプラグインは、ログイン試行回数を超えてログインを試みるIPアドレスを自動的にブロックします。
- IPをホワイトリストおよびブラックリストとして手動でマークすることを許可します。
- ログイン、登録など、ブロックされたIPからの情報を非表示にすることができます。
- ブロックされたユーザーに、無効な試行とともに任意のカスタムCaptchaエラーメッセージを表示できます。
- 多言語対応。
Limit Login Attempts
Limit Login Attempts(ログイン試行制限)は、もう一つの人気のあるWordPressログイン保護プラグインです。このプラグインの主な目的は、ブルートフォース攻撃に対する保護を提供することです。
特徴:-
ログインセキュリティ – ログイン試行を制限し、ユーザーのログイン試行を追跡します
ブルートフォース攻撃保護 – 許可されるログイン試行回数を制限し、ユーザーアカウントを攻撃から保護します。
アンチスパム – Google reCAPTCHAを使用してユーザーをスパムから保護します。
IP制限 – IPまたはIP範囲を制限して、無効なログイン攻撃を防ぎます。
ログインページURLのリネームまたは変更 – デフォルトのWordPressログインURL(スラッグ)を元のwp-login.phpやwp-adminとは異なるものに変更し、自動ブルートフォース攻撃を防ぎます。
ログインページに残り試行回数を表示 – ユーザーにログインページでの残り試行回数を通知するオプションを提供します。
スパム対策 – スパム保護を提供し、一定回数の試行後にIPアドレスを無効化/ブロックします。
XML-RPCの無効化 – WordPressでXML-RPCを簡単に無効化するオプション。ほとんどのWordPressユーザーはXML-RPCを必要としないため、自動ブルートフォース攻撃を防ぐために無効化できます。
非アクティブユーザーのログアウト – 指定された時間内にユーザーが何も操作を行わない場合、自動的にログアウトします。
管理者メールアラート – メールアラートを通じて、ユーザーアカウントのIPブロックや異常なアクティビティを通知します。
Limit Login Attemptsにはプロ版もあります:Brute Force Login Security, Spam Protection & Limit Login Attempts
WPS Limit Login
WPS Limit LoginはWordPressのフル機能のブルートフォースログイン保護プラグインです。デフォルトでは、WordPressは無制限のログイン試行を許可しており、ブルートフォース攻撃を比較的容易にしています。WPS Limit Loginがあなたのサイトを救います。
ログインページと認証Cookieを使用して、可能な接続試行回数を制限します。デフォルトでは、WordPressはログインページまたは特別なCookieを送信することで無制限のログイン試行を許可します。これにより、パスワード(またはハッシュ)がブルートフォース攻撃で比較的簡単に突破される可能性があります。
WPS Limit Loginはログイン試行を制限し、指定された制限に達した後はインターネットアドレスからのさらなる試行をブロックし、ブルートフォース攻撃を困難または不可能にします。
特徴:
ログイン中の再試行回数(IPごと)を制限します。これは完全にカスタマイズ可能です。
認証Cookieを使用してログイン試行回数を同様に制限します。
ログインページで残りの試行回数またはロックアウト時間をユーザーに通知します。
ログ記録とオプションのメール通知。
リバースプロキシの背後にあるサーバーを管理します。
IPアドレスをホワイトリスト/ブラックリストに登録できます。
Sucuriウェブサイトのファイアウォールと互換性があります。
XMLRPCゲートウェイ保護。
ログインページのWoocommerce保護。
他のMU設定とのマルチサイト互換性。
Jetpack
WordPress.comが提供するJetpackは、弱いログインパスワードを解読しようとするボットやマルウェアからWordPressサイトを保護する完全なソリューションを提供します(国内サーバーでは使用しないでください。開けないため)。これはブルートフォース保護分野で最大のプラグインとして知られています。
このプラグインはスパムフィルタリングとダウンタイム監視にも役立ちます。さらに、マルウェアをスキャンし、サイトへの変更を記録できます。サイトでブロックされたスパムコメントや悪意のある攻撃の数は„ブルートフォース攻撃とマルウェア保護 - オンデマンドバックアップと復元設定」ページに保存されます。
ブルートフォース保護に加えて、Jetpackはサイトのパフォーマンスと管理をサポートします。画像最適化、モバイル対応デザイン、高度なサイト統計と分析機能により、オーディエンスを理解できます。
長所
- セキュリティ以外にも、パフォーマンス最適化やサイト管理など多数の機能を提供
- 二要素認証(2FA)を提供
デメリット
- 高度な機能を使用するにはアップグレードが必要
- 国内ユーザーは使用できません
Brute Force Login Protection
他のログイン試行制限プラグインと同様に、Brute Force Login Protectionは自動スクリプトや悪意のあるユーザーがWordPressのログインページに繰り返しユーザー名とパスワードを入力するのを防ぎます。
このプラグインは20,000以上のサイトにインストールされ、4.1の星評価を得ており、明らかに問題を解決しています。
ほとんど設定不要で動作し、„設定“ページからブロックされたIPリストを表示したり、手動でIPをブロックしたりできます。また、IPホワイトリストもサポートしています。
Limit Login Attempts Reloadedと同様に、このプラグインは失敗した試行後にログインを遅延させ、ブルートフォース攻撃を遅らせるのに役立ちます。2回の失敗したログイン試行の間に、ユーザーには5〜10分の短い間隔があります。
管理者IPアドレスがブロックされた場合は、.htaccessファイルを編集し(FTPアクセス権がある場合)、„deny from abcd“行(abcdは自身のIPアドレス)を削除してサイトにログインします。FTPアクセス権がない場合は、別のIPアドレスから管理パネルにアクセスし、ブロックされたIPリストから削除する必要があります。
長所
- ブルートフォース攻撃を遅らせる
- IPアドレスを一時的に禁止する際に管理者にメールを送信
- シンプルで使いやすい
デメリット
このプラグインはWordPress 2.7.0リリースまでしかテストされていません最新の更新は2年前で、サイトのセキュリティリスクを引き起こす可能性があります- (このプラグインは既に更新されています)
Botnet Attack Blocker
Bonet Attack Blockerは、WordPressサイトをブルートフォース攻撃やサイバー犯罪から守るために別の方向性を採用しています。プラグイン開発者の観点からは、IPアドレスと位置情報によるブロックだけではボットを排除するのに十分ではありません。
例えば、1,000台のコンピュータを使用して同時にログイン情報を入力し、各デバイスでロックされる前に5回のログイン試行を許可すると、最大5,000の異なるパスワードを試行できます。
この制限を回避するため、Bonet Attack Blockerは基本的にIPアドレスの違いを無視します。特定の時間内に5回の失敗した試行(デフォルト)を検出すると、すべての管理者ログイン試行をブロックします。
ただし、プラグインの動作方法によって問題が発生する可能性があります。合計で連続5回の失敗した試行後、Bonet Attack Blockerは異なるIPアドレスからのすべての管理者ログイン試行をブロックします。その結果、サイトに侵入しようとしていない多くのユーザーを誤ってブロックする可能性があります。
長所
- 一部のIPアドレスを許可
- キーを追加してロックをバイパス
デメリット
- 通常ログインユーザーを誤ってブロックしやすい
- 3年間更新なし
どのプラグインを使用すべきか?
これら9つのWordPressログインセキュリティ強化プラグインを紹介しましたが、どのプラグインをインストールすべきか迷うかもしれません。
実際、どのプラグインもログイン保護機能を提供します。自分のセキュリティニーズをより満たす機能を持つプラグインを研究するだけです。
Naiba サイト構築ノート共有されているその他のWordPressセキュリティ記事:





