WordPress のログイン試行を制限する方法
公開: 2023-06-22管理領域を保護するために、WordPress へのログイン試行を制限しますか? このチュートリアルでは、ログイン試行を制限する正確なプロセスを示します。
CMS としての WordPress の人気は、ブルート フォース攻撃などのセキュリティ侵害に対する脆弱性ももたらします。 WordPress はデフォルトでログイン試行を制限していないため、これらの攻撃が成功して Web サイトが妨害される可能性はさらに高くなります。
そのため、WordPress Web サイトにログイン試行を追加することが重要です。 ただし、これらの試行を制限すると、ブルート フォース攻撃を回避する以外にもいくつかの利点があります。 それでは、実際のプロセスに進む前に、WordPress でログイン試行を制限する利点を見てみましょう。
WordPress のログイン試行を制限する理由
WordPress Web サイトへのログイン試行を制限することが重要です。 これが重要である理由は次のとおりです。
- ブルート フォース攻撃の防止:ブルート フォース攻撃は、多数のユーザー名とパスワードの組み合わせを推測するという自動化された試行錯誤に依存します。 正しい資格情報が見つかるまで続行されます。 したがって、これらの攻撃者のログイン試行を制限することで、攻撃が成功する可能性を大幅に減らすことができます。
- ユーザー アカウントの保護: Web サイトでユーザー登録が可能である場合、またはメンバーシップ機能が含まれている場合、ログイン試行を制限することは非常に重要です。 ログイン試行に制限を課すことで、ユーザー アカウントを不正アクセスから守るための安全策を確立します。 これにより、WordPress サイトに関連付けられたユーザー アカウントが確実に保護され、Web サイト全体のセキュリティが強化されます。
- Web サイトのパフォーマンスを維持する:攻撃者が複数のユーザー名とパスワードでアクセスを試みると、ブルート フォース攻撃により Web サイトのサーバー リソースに負荷がかかる可能性があります。 ログイン試行が失敗するたびに処理能力、メモリ、その他のリソースが必要となり、Web サイトのパフォーマンスの低下やダウンタイムにつながる可能性があります。 したがって、ログイン試行を制限することで、Web サイトのパフォーマンスに悪影響を与えるこれらの試行の可能性を減らすことができます。
- 全体的なセキュリティの強化:ログイン試行制限の実装は、WordPress サイトの保護を強化する予防的なセキュリティ対策です。 これにより、強力なパスワード、2 要素認証、定期的なアップデートなどの重要なセキュリティ対策が含まれ、不正アクセスに対する追加の防御層が追加されます。 これらの対策を総合すると、潜在的な脅威からサイトを保護する堅牢な防御システムを構築できます。
次のセクションでは、プラグインを使用して WordPress のログイン試行を制限する手順を段階的に説明します。
WordPress のログイン試行を制限する方法
WordPress でのログイン試行を制限する最も簡単な方法は、プラグインを使用することです。 プラグインは、デフォルトの WordPress インストールまたはテーマでは提供されなかった Web サイトの機能を強化します。 また、WordPress はデフォルトではログイン試行を制限していないため、プラグインを使用する必要があります。
WordPress の多くのプラグインを使用すると、Web サイトでのログイン試行を制限できます。 ただし、このデモでは、Limit Login Attempts Reloadedプラグインを使用します。
これは、ログイン試行を制限することでウェブサイトをブルートフォース攻撃から保護するように設計された WordPress で最も人気のあるプラグインです。 このプラグインには、ログイン再試行の最大回数とロックアウト期間を設定するための簡単なインターフェイスもあります。 詳細なログも提供されるため、すべてのログイン試行を追跡し、関連するセキュリティ上の脅威を認識できます。
ただし、プラグインの使用を開始するには、プラグインをインストールして有効化する必要があります。
1) プラグインをインストールして有効化する
まず、WordPress ダッシュボードから[プラグイン] > [新規追加]に移動し、プラグインのキーワードを入力します。 検索結果にプラグインが表示されたら、 「今すぐインストール」をクリックしてプラグインをインストールします。
インストールには数秒しかかかりません。 インストールが完了したらすぐにプラグインを有効化します。
公式 WordPress プラグイン リポジトリに含まれていないプラグインを使用する場合は、プラグインをアップロードしてインストールすることもできます。 サポートが必要な場合は、WordPress プラグインを手動でインストールするための完全なガイドを参照してください。
2) プラグイン設定を使用してログイン試行を制限する
プラグインが有効になったら、プラグイン設定を使用して WordPress Web サイトのログイン試行制限を調整できるようになります。 そのためには、 [設定] > [ログイン試行の制限]に移動し、 [設定]タブを開きます。
ここでプラグインの一般設定を確認できます。 ただし、最初に行う必要があるのは、 [アプリ設定]セクションまで下にスクロールして、WordPress Web サイトでのログイン試行またはロックアウトを制限することです。 ロックアウトとは、ログイン試行が一定回数失敗すると、アカウントまたはシステムへのアクセスを一時的にブロックまたは制限するセキュリティ機能を指します。
プラグインには、ログイン試行をロックアウトするためのいくつかのオプションが含まれています。 まず、ユーザーに提供するログイン再試行の回数を「許可される再試行」の数値ボックスに追加します。 ここに入力する数値は、WordPress Web サイトのユーザーに許可するログイン試行の制限です。
同様に、ユーザーが許可された再試行期間内に正しい資格情報を入力できなかった場合のロックアウトの期間を分単位で調整できます。 特定の期間の後にロックアウト数を増やしたり、再試行をリセットする期間を増やすなど、さらにいくつかのロックアウト オプションもあります。
最後に、[信頼された IP オリジン] オプションを変更することもできます。 ただし、セキュリティ上の理由から、変更せずにそのままにすることを強くお勧めします。 必要な変更をすべて行った後、 「設定を保存」をクリックします。
これにより、WordPress ダッシュボードからログアウトしたときにログイン試行が表示され、間違ったユーザー名またはパスワードが入力されたときに再度ログインを試みることができます。 シークレット モードでログイン URL を開いて、簡単にテストすることもできます。 次のスクリーンショットを見ると、最初の試行に間違ったユーザー名またはパスワードが含まれていたため、7 件中 6 件しかありません。
3) 追加のプラグイン設定を調整する
ロックアウト オプションを設定した後、追加のプラグイン設定を調整して、WordPress Web サイトへのログイン試行を制限することもできます。 「一般設定」セクションまで上にスクロールすると、最初にプラグインを GDPR 準拠として設定するオプションが表示されます。 オプションをチェックすると、GDPR メッセージを追加することもできます。
さらに、プラグインは、一定回数のロックアウト後に、選択した電子メールに直接通知することができます。 最上位のメニュー項目、警告バッジ、ダッシュボード ウィジェットを表示または非表示にすることもできます。 ただし、警告バッジとトップレベルのメニュー項目は、変更をリロードする場合にのみ表示されることに注意してください。
追加の変更をすべて行った後は、忘れずに変更を保存してください。
さらに、 「ログ」タブを開くと、ここでロックアウトの合計数も確認できます。 必要に応じて、IP アドレス、IP 範囲、またはユーザー名をセーフリストおよびブロックリスト領域に追加することもできます。 繰り返しますが、これらの IP アドレスを Web サイトで有効にするには、これらの変更を保存する必要があります。
さらに、 [ダッシュボード]タブから、過去 24 時間のログイン試行失敗数の概要を表示することもできます。 また、失敗したログイン試行の数のグラフと、その横に失敗した試行の正確な日付も表示されます。 ログイン試行のオプションをさらに増やしたい場合は、いつでもプレミアム バージョンにアップグレードできます。
ボーナス: WordPress ログインページの URL を変更する方法
ブルート フォース攻撃の可能性を減らすために Web サイトの安全性を高めたい場合は、Web サイトの WordPress ログイン URL を変更することもできます。 デフォルトの WordPress ログイン URL は非常に予測可能で簡単です。 その結果、ハッカーはブルート フォース攻撃のログイン URL を簡単に見つけることができます。
ドメインの末尾にパス/wp-admin/を追加すると、Web サイトのログイン ページを簡単に見つけることができます。 次に、Web サイトの WordPress ログイン ページにリダイレクトされ、そこから WordPress ダッシュボードにアクセスできます。 パス/wp-admin/が機能しない場合は、パス/wp-login/、 /login/ 、または/admin/を試すこともできます。
ご覧のとおり、ログイン ページには、Web デザインと開発に少しでも慣れている人なら誰でもアクセスできます。 これにより、WordPress へのログイン試行を制限した場合でも、Web サイトにさらなるセキュリティ上の脅威が生じる可能性があります。 したがって、WordPress ウェブサイトのログイン URL も変更することが不可欠です。
Web サイトのログイン URL は、手間をかけずにわずか数分で変更できます。 ログイン試行を制限するのと同じように、WordPress でログイン URL を変更する最も簡単な方法は、プラグインを使用することです。 したがって、このデモンストレーションでは、 WPS Hide Loginプラグインを使用します。
1) プラグインをインストールして有効化する
プラグインをインストールするには、WordPress ダッシュボードから再度[プラグイン] > [新規追加]に移動します。 次に、このチュートリアルで前述した手順の 1 つと同様に、プラグインのキーワードを検索し、 [今すぐインストール]をクリックします。
あとはプラグインを有効にするだけです。
2) WordPress ログインページの URL を変更する
プラグインをアクティブ化すると、WordPress ダッシュボードの[設定] > [WPS ログインを非表示]からプラグイン オプションのカスタマイズを開始できるようになります。
ここでは、2 つのオプションをカスタマイズする必要があります。
- ログインURL
- リダイレクトURL
「ログイン URL」フィールドに、ログイン ページに必要な新しいパスを入力します。 この例では「 newlogin 」を追加しました。 したがって、一意のログイン URL はwww.yourdomain.com/newlogin/になります。
この変更を行った後は、新しい URL を使用して WordPress 管理ダッシュボードにアクセスする必要があることに注意してください。 したがって、以前の/wp-admin/パスまたは使用していた他のログイン URL は、今後ログイン ページにアクセスできなくなります。 したがって、ユーザーを古いログイン URL から新しいログイン URL にリダイレクトする必要があります。
ここでリダイレクト URL が役に立ちます。 誰かがブラウザに古いwww.yourdomain.com/wp-admin/ を入力すると、リダイレクト URL に自動的にリダイレクトされます。
ただし、WordPress のログイン試行を制限した後、Web サイトの安全性を高めたいため、リダイレクト URL として404を追加します。 これにより、入力された Web ページが利用できないことがユーザーに通知されます。
最後に、すべての変更を保存します。
新しい設定を更新すると、WordPress はログイン ページが変更されたことを示す警告をページの上部に表示します。 このリンクをブックマークし、管理 Web サイトのユーザーのみに提供することをお勧めします。
URL の変更についてさらに詳しい情報が必要な場合は、WordPress ログイン ページの URL を変更する方法に関する詳細なチュートリアルも参照してください。
ヒント: ログインパスワードが強力であることを確認してください
WordPress のログイン試行に制限を追加したりログイン URL を変更したりするのと同様に、ログイン パスワードが確実で簡単に推測できないことを確認することも重要です。 お持ちでない場合は、WordPress 管理ダッシュボードから簡単に作成できます。 そこで、おまけのヒントとして、WordPress ログイン アカウントに強力なパスワードを追加する方法も説明します。
まず、WordPress ダッシュボードから[ユーザー] > [プロフィール]に移動し、[アカウント管理] セクションまで下にスクロールします。 次に、 「新しいパスワードを設定」をクリックします。 WordPress ユーザープロファイル用の強力な新しいパスワードが自動的に生成されます。
将来の使用または参照のために、パスワードをコピーして安全な場所に貼り付けて、安全に保存してください。 最後に、ページの一番下までスクロールし、 「プロファイルの更新」をクリックして変更を保存します。
結論
これは、Web サイトでのWordPress ログイン試行を制限する方法です。 ログイン試行を制限することは、WordPress Web サイトにセキュリティ層を追加するために不可欠であり、そのプロセスも簡単です。 ログイン試行を制限し、ロックアウトを調整できるプラグインをインストールするだけで、プラグイン設定を使用してそれに応じてログインがリタイアされます。
使用するプラグインによっては、ログイン制限に関する追加オプションもいくつかあります。 さらに、このチュートリアルの上記の例に示すように、プラグインはログイン試行の統計とログも提供する場合があります。
同様に、追加のセキュリティ対策として、WordPress ログイン URL の変更に関するボーナス チュートリアルも提供しています。 ログイン試行を制限するのと同じように、専用のプラグインを使用してログイン URL を変更できます。 ただし、最大限のセキュリティを確保するために、WordPress ユーザー アカウントの確実なログイン パスワードを必ず設定してください。
それでは、WordPress Web サイトでのログイン試行を今すぐ制限できますか? 試したことはありますか? ぜひコメント欄でお知らせください。
一方、WordPress Web サイトをさらにカスタマイズするのに役立つ可能性のある記事をいくつか紹介します。
- 一時的な WordPress ログインを作成する方法: 3 つの方法
- WordPress ログインが機能しない場合修正方法
- WooCommerce ログインに CAPTCHA を追加する方法