WordPressは世界で最も利用者の多いブログプラットフォームであり、ブログ、CMS、オンラインショップなど様々な形式のサイトを構築できます。あなたは自身のサイトのトラフィックが少ないからといって、セキュリティは重要でないと考えるかもしれません。しかし、多くのハッカーがソフトウェアを使ってインターネット上のサイトを自動的にスキャンしていることをご存知でしょうか。 ウェブサイトの30%は
WordPressで構築で構築されており、そのため多くのハッカーがWordPressでインストールされたサイトを標的にしています。一部のボットネットプログラムやハッカーは、オンラインで流出したデータベースを利用して、あなたのサイトへのログインを繰り返し試行します。彼らは異なるユーザー情報を何度も変更しながらあなたのサイトへのログインを試み、ログインに成功すると、ボットネットプログラムや悪意のある人物はあなたのデータを盗んだり、マルウェアをインストールしたり、サイト上のすべてのコンテンツを削除したりする可能性があります。 弱いパスワードを使用していると、ハッカーにスキャンされてサイトが悪用される危険があります。サイトをブルートフォース攻撃者から遠ざけ、安全に保つことは非常に重要です。強力なパスワードの設定やadminディレクトリのパスワード保護など、他の解決策を試すこともできますが、ブルートフォース保護プラグインをインストールする方がはるかに簡単な方法です。必要なのは、最適なプラグインを選択し、その仕事を任せることだけです。
ブルートフォース攻撃とは
インターネット上では、ブルートフォース攻撃は特定の辞書や組み合わせを使用してウェブサイトのパスワードを解読する方法です。ハッカーはソフトウェアを使用して、あなたのサイトのパスワードと一致するまで、異なるパスワードを自動的に繰り返し試行します。 ほぼすべてのウェブサイトが毎日、ボットによるパスワードスキャンの対象となっていますが、あなた自身は気づいていないだけです。
9つのWordPressブルートフォースログイン保護プラグイン
- Loginizer
- Limit Login Attempts Reloaded
- WP Limit Login Attempts
- Limit Attempts by BestWebSoft
- Limit Login Attempts
- WPS Limit Login
- Jetpack
- Brute Force Login Protection
- Botnet Attack Blocker
Loginizer
Loginizerは、WordPressで最高のオープンソースかつ無料のブルートフォースログイン保護プラグインの一つです。Loginizerは80万以上のアクティブインストールを誇ります。無料版とプロ版に分かれており、無料版の機能でもサイトをあらゆる悪意のある攻撃から保護できます。 Loginizerの機能には以下が含まれます:
- 最大試行回数後にIPをブロック
- 最大ロックアウト後にロックアウト期間を延長
- 最大ロック後に管理者にメール通知を送信
- ブラックリストIP / IP範囲
- ホワイトリストIP / IP範囲
- 失敗した試行のログを確認
- IP範囲を作成
- IP範囲を削除
- GNU GPL バージョン3の下でライセンスされています
- 安全で信頼性が高い
ダウンロードリンクLimit Login Attempts Reloaded
Limit Login Attempts Reloadedは、通常のログインと正しいCookieを通じてのみログイン試行を制限します。ブルートフォース攻撃を停止し、不正なユーザーがサイトにアクセスできないようにする技術を使用しています。 特徴:
- ログイン時の再試行回数を制限(IPごと)。完全にカスタマイズ可能です。
- 認証済みCookieを使用したログイン回数を同様に制限。
- ログインページで残りの試行回数またはロック時間をユーザーに通知。
- オプションのログとオプションのメール通知。
- IPとユーザー名をホワイトリスト/ブラックリストに登録可能。
- Sucuri Webサイトファイアウォールとの互換性。
- XMLRPCゲートウェイ保護。
- Woocommerceログインページ保護。
- 追加のMU設定を備えたマルチサイト互換性。
- 準拠GDPR標準。この機能を有効にすると、記録されたすべてのIPは難読化(md5ハッシュ)されます。
- カスタムIPソースサポート(Cloudflare、Sucuriなど)
ダウンロードリンクWP Limit Login Attempts
WP Limit Login Attemptsは、もう一つの強力なWordPressブルートフォース保護プラグインです。現在4万以上のアクティブインストールがあり、評価も4.5です。 ログイン試行を制限し、サイトをブルートフォース攻撃から保護します。ブルートフォース攻撃は、サイトへのアクセス権を取得する最も簡単な方法を目的としています:ユーザー名とパスワードを何度も試行し、侵入するまで続けます。WP Limit Login Attemptsは、ログイン試行回数を一時的に制限し、IPをブロックします。CAPTCHA検証を通じてボットを検出します。 Settings > WP Limit Login に移動してください。 特徴
- ログインセキュリティ - ログイン試行を制限し、ユーザーのログイン試行を追跡
- CAPTCHA
- 軽量プラグイン
- ブルートフォース攻撃を遅延させるメカニズム
- 異常なリクエスト時にホームページにリダイレクト(ハッキングツールを停止します)
- GDPR準拠。この機能を有効にすると、記録されたすべてのIPアドレスは難読化(md5ハッシュ化)されます。
ダウンロードリンクLimit Attempts by BestWebSoft
Limit Attemptsプラグインは、WordPressのセキュリティソリューションで、サイトをスパムやブルートフォース攻撃から保護します。ユーザーごとのログイン試行失敗回数を制限し、設定に基づいてユーザーのIPを一定期間ブロックします。これにより、自動スクリプトが大量の異なる組み合わせを生成してサイトをクラックするのを防ぎます。ブラックリストとホワイトリストの管理、メール通知の受信、ブロックまたはブラックリストに登録されたIPからのサイトフォームの非表示、その他データセキュリティを保証する高度な機能を提供します。
特徴:- このプラグインは、ログイン試行回数を超えてログインを試みるIPアドレスを自動的にブロックします。
- IPをホワイトリストおよびブラックリストとして手動でマークすることを許可します。
- ログイン、登録など、ブロックされたIPからの情報を非表示にすることができます。
- ブロックされたユーザーに、無効な試行とともに任意のカスタムCaptchaエラーメッセージを表示できます。
- 多言語対応。
ダウンロードリンクLimit Login Attempts
Limit Login Attempts(ログイン試行制限)は、もう一つの人気のあるWordPressログイン保護プラグインです。このプラグインの主な目的は、ブルートフォース攻撃に対する保護を提供することです。
特徴:- ログインセキュリティ - ログイン試行を制限し、ユーザーのログイン試行を追跡します。ブルートフォース攻撃保護 - 許可されるログイン試行回数を制限し、ユーザーアカウントを攻撃から保護します。アンチスパム - Google reCAPTCHAにより、ユーザーをスパムから保護します。IP制限 - IPまたはIP範囲を制限して、無効なログイン攻撃を防止します。ログインページURLのリネームまたは変更 - デフォルトのWordPressログインURL(スラッグ)を、元のwp-login.phpやwp-adminとは異なるものに変更し、自動ブルートフォース攻撃を防止します。ログインページでの残り試行回数の表示 - ログインページでユーザーに残り試行回数を通知するオプションを提供します。スパム保護 - スパム保護を提供し、一定回数の試行後にIPアドレスを無効化/ブロックします。XML-RPCの無効化 - WordPressでXML-RPCを簡単に無効化するオプション。ほとんどのWordPressユーザーはXML-RPCを必要とせず、自動ブルートフォース攻撃を防ぐために無効化できます。非アクティブユーザーの自動ログアウト - ユーザーが指定された時間内に何も操作を行わない場合、自動的にログアウトします。管理者メールアラート - IPブロックや異常な活動について、メールアラートでユーザーアカウントを通知します。
ダウンロードリンクLimit Login Attemptsにはプロ版もあります:
Brute Force Login Security, Spam Protection & Limit Login AttemptsWPS Limit Login
WPS Limit Loginは、WordPressのフル機能のブルートフォースログイン保護プラグインです。デフォルトでは、WordPressは無制限のログイン試行を許可しており、これによりブルートフォース攻撃がやや容易になっています。WPS Limit Loginがあなたのサイトを救います。ログインページと認証Cookieを使用して、可能な接続試行回数を制限します。デフォルトでは、WordPressはログインページまたは特別なCookieを送信することによる無制限のログイン試行を許可しています。これにより、パスワード(またはハッシュ)がブルートフォースで比較的簡単にクラックされる可能性があります。WPS Limit Loginはログイン試行を制限し、指定された制限に達した後はインターネットアドレスへのさらなる試行をブロックし、ブルートフォース攻撃を困難または不可能にします。
特徴: ログイン中の再試行回数を制限(IPごと)。これは完全にカスタマイズ可能です。認証Cookieを使用したログイン試行回数の制限も同様に行います。ログインページでユーザーに残り試行回数またはロックアウト時間を通知します。ログ記録とオプションのメール通知。リバースプロキシの背後にあるサーバーを管理します。IPアドレスをホワイトリスト/ブラックリストに登録できます。Sucuri Webサイトファイアウォールと互換性があります。XMLRPCゲートウェイ保護。ログインページのWoocommerce保護。マルチサイト互換、その他のMU設定。
ダウンロードリンクJetpack
WordPress.comが提供するJetpackは、弱いログインパスワードをクラックしようとするボットやマルウェアからWordPressサイトを保護する完全なソリューションを提供します(国内サーバーでは使用しないでください。開くことができません)。これは、ブルートフォース保護分野で最大のプラグインとして知られています。このプラグインは、スパムフィルタリングとダウンタイム監視にも役立ちます。最も重要なのは、マルウェアをスキャンし、サイトへの変更を記録できることです。サイトでブロックされたスパムコメントや悪意のある攻撃の数は、„
ブルートフォース攻撃とマルウェア保護 - オンデマンドバックアップと復元設定」ページに保存されます。ブルートフォース保護に加えて、Jetpackはサイトパフォーマンスと管理もサポートします。画像最適化、モバイルレスポンシブデザイン、および視聴者を理解するための高度なウェブサイト統計と分析機能が含まれます。
長所- セキュリティ以外にも、パフォーマンス最適化やサイト管理など多数の機能を提供
- 二要素認証(2FA)を提供
デメリット- 高度な機能を使用するにはアップグレードが必要
- 国内ユーザーは使用できません
ダウンロードリンクBrute Force Login Protection
他のログイン試行制限プラグインと同様に、Brute Force Login Protectionは、自動スクリプトや悪意のある人物がWordPressログインページに繰り返しユーザー名とパスワードを入力するのをブロックします。このプラグインは20,000以上のサイトにインストールされ、4.1星の評価を得ており、明らかにこの問題を解決しています。ほとんど設定なしで動作し、„設定“ページからブロックされたIPリストを確認したり、IPを手動でブロックしたりでき、IPホワイトリストもサポートしています。Limit Login Attempts Reloadedと同様に、このプラグインは失敗した試行後にログインを遅延させることで、ブルートフォース攻撃を遅らせるのに役立ちます。2回の失敗したログイン試行の間、ユーザーには5〜10分の短い間隔があります。管理者のIPアドレスがブロックされた場合は、.htaccessファイルを編集し(FTPアクセス - ファイル転送プロトコルアクセス権がある場合)、„deny from abcd“行(abcdは自身のIPアドレス)を削除してサイトにログインする必要があります。FTPアクセスがない場合はどうすればよいですか?他のIPアドレスから管理パネルにアクセスし、„ブロックされたIP“リストから削除するしかありません。
長所- ブルートフォース攻撃を遅らせる
- IPアドレスを一時的に禁止する際に管理者にメールを送信
- シンプルで使いやすい
デメリットこのプラグインはWordPress 2.7.0リリースまでしかテストされていません最新の更新は2年前で、サイトのセキュリティリスクを引き起こす可能性があります- (このプラグインは既に更新されています)
ダウンロードリンク Botnet Attack Blocker
Bonet Attack Blockerは、WordPressサイトをブルートフォース攻撃者やサイバー犯罪から保護するために、別のアプローチを採用しています。プラグイン開発者の視点から見ると、IPアドレスや位置情報によるブロックは、ボットを締め出すには効率が十分ではありません。例えば、1,000台のコンピュータを使用して同時にログイン情報を入力し、ロックされる前に各デバイスで5回のログイン試行を受け入れることで、最大5,000個の異なるパスワードを試すことが可能です。この制限を回避するため、Bonet Attack Blockerは基本的にIPアドレスの違いを無視します。特定の時間内に5回の失敗した試行(デフォルト)を検知すると、すべての管理者ログイン試行をブロックします。しかし、このプラグインの動作方法はいくつかの問題を引き起こす可能性があります。合計で連続5回の失敗試行後、Bonet Attack Blockerは異なるIPアドレスからのすべての管理者ログイン試行をブロックします。その結果、サイトに侵入する意図のない多くのユーザーを誤ってブロックしてしまう可能性があります。
長所- 一部のIPアドレスを許可
- キーを追加してロックをバイパス
デメリット- 通常ログインユーザーを誤ってブロックしやすい
- 3年間更新なし
ダウンロードリンクどのプラグインを使用すべきか?
これら9つのWordPressログインセキュリティを強化するプラグインを紹介しましたが、どのプラグインをインストールすべきか疑問に思うかもしれません。実際、各プラグインはログイン保護機能を果たすことができます。より多くのセキュリティ要件を満たす機能を持つものを研究するだけでよいでしょう。
Naiba サイト構築ノート共有されているその他のWordPressセキュリティ記事:
- WordPress管理画面ログインアドレスを隠してセキュリティを向上 WPS Hide Login
- セキュリティ対策を実施し、WordPressサイトのハッキングを防ぐ
- WordPressユーザーログイン履歴を記録するプラグイン:User Login History
- WordPress公式が推奨する4つのマルウェアスキャンプラグイン
Loginizerは、WordPressで最高のオープンソースかつ無料のブルートフォースログイン保護プラグインの一つです。Loginizerは80万以上のアクティブインストールを誇ります。無料版とプロ版に分かれており、無料版の機能でもサイトをあらゆる悪意のある攻撃から保護できます。 Loginizerの機能には以下が含まれます:
Limit Login Attempts Reloadedは、通常のログインと正しいCookieを通じてのみログイン試行を制限します。ブルートフォース攻撃を停止し、不正なユーザーがサイトにアクセスできないようにする技術を使用しています。 特徴:
WP Limit Login Attemptsは、もう一つの強力なWordPressブルートフォース保護プラグインです。現在4万以上のアクティブインストールがあり、評価も4.5です。 ログイン試行を制限し、サイトをブルートフォース攻撃から保護します。ブルートフォース攻撃は、サイトへのアクセス権を取得する最も簡単な方法を目的としています:ユーザー名とパスワードを何度も試行し、侵入するまで続けます。WP Limit Login Attemptsは、ログイン試行回数を一時的に制限し、IPをブロックします。CAPTCHA検証を通じてボットを検出します。 Settings > WP Limit Login に移動してください。 特徴
Limit Attemptsプラグインは、WordPressのセキュリティソリューションで、サイトをスパムやブルートフォース攻撃から保護します。ユーザーごとのログイン試行失敗回数を制限し、設定に基づいてユーザーのIPを一定期間ブロックします。これにより、自動スクリプトが大量の異なる組み合わせを生成してサイトをクラックするのを防ぎます。ブラックリストとホワイトリストの管理、メール通知の受信、ブロックまたはブラックリストに登録されたIPからのサイトフォームの非表示、その他データセキュリティを保証する高度な機能を提供します。特徴:
Limit Login Attempts(ログイン試行制限)は、もう一つの人気のあるWordPressログイン保護プラグインです。このプラグインの主な目的は、ブルートフォース攻撃に対する保護を提供することです。特徴:- ログインセキュリティ - ログイン試行を制限し、ユーザーのログイン試行を追跡します。ブルートフォース攻撃保護 - 許可されるログイン試行回数を制限し、ユーザーアカウントを攻撃から保護します。アンチスパム - Google reCAPTCHAにより、ユーザーをスパムから保護します。IP制限 - IPまたはIP範囲を制限して、無効なログイン攻撃を防止します。ログインページURLのリネームまたは変更 - デフォルトのWordPressログインURL(スラッグ)を、元のwp-login.phpやwp-adminとは異なるものに変更し、自動ブルートフォース攻撃を防止します。ログインページでの残り試行回数の表示 - ログインページでユーザーに残り試行回数を通知するオプションを提供します。スパム保護 - スパム保護を提供し、一定回数の試行後にIPアドレスを無効化/ブロックします。XML-RPCの無効化 - WordPressでXML-RPCを簡単に無効化するオプション。ほとんどのWordPressユーザーはXML-RPCを必要とせず、自動ブルートフォース攻撃を防ぐために無効化できます。非アクティブユーザーの自動ログアウト - ユーザーが指定された時間内に何も操作を行わない場合、自動的にログアウトします。管理者メールアラート - IPブロックや異常な活動について、メールアラートでユーザーアカウントを通知します。ダウンロードリンクLimit Login Attemptsにはプロ版もあります:Brute Force Login Security, Spam Protection & Limit Login Attempts
WPS Limit Loginは、WordPressのフル機能のブルートフォースログイン保護プラグインです。デフォルトでは、WordPressは無制限のログイン試行を許可しており、これによりブルートフォース攻撃がやや容易になっています。WPS Limit Loginがあなたのサイトを救います。ログインページと認証Cookieを使用して、可能な接続試行回数を制限します。デフォルトでは、WordPressはログインページまたは特別なCookieを送信することによる無制限のログイン試行を許可しています。これにより、パスワード(またはハッシュ)がブルートフォースで比較的簡単にクラックされる可能性があります。WPS Limit Loginはログイン試行を制限し、指定された制限に達した後はインターネットアドレスへのさらなる試行をブロックし、ブルートフォース攻撃を困難または不可能にします。特徴: ログイン中の再試行回数を制限(IPごと)。これは完全にカスタマイズ可能です。認証Cookieを使用したログイン試行回数の制限も同様に行います。ログインページでユーザーに残り試行回数またはロックアウト時間を通知します。ログ記録とオプションのメール通知。リバースプロキシの背後にあるサーバーを管理します。IPアドレスをホワイトリスト/ブラックリストに登録できます。Sucuri Webサイトファイアウォールと互換性があります。XMLRPCゲートウェイ保護。ログインページのWoocommerce保護。マルチサイト互換、その他のMU設定。ダウンロードリンク
コメントは終了しました
この記事のコメント機能は終了しています。ご質問がある場合は、他の方法でお問い合わせください。