WordPress のログイン試行回数を制限する: 方法は?

公開: 2023-04-19

ハッカーが WordPress サイトにログインしようとしているのではないかと心配していますか? あなたは正しいです。

ハッカーは試行錯誤の方法を使用して、ログイン資格情報を推測し、WordPress サイトに侵入しています。 実際、WordPress サイトでは、WordPress のログイン ページが最も攻撃されたページです。

ハッカーが管理ダッシュボード領域に侵入すると、サイトを完全に制御できます. マルウェア、バックドアをインストールし、サイトを改ざんし、違法な製品を宣伝および販売し、ユーザーの個人情報を盗み、サイト訪問者にスパムを送信し、その他の悪意のある活動を実行します。

幸いなことに、ユーザーが正しい認証情報を入力するために許可されるログイン試行回数を制限することで、ログイン ページを保護できます。 このガイドでは、 WordPress サイトでのログイン試行回数を制限する方法を紹介します。

TL;DR: WordPress サイトへのログイン試行を制限することで、ハッカーが Web サイトに侵入しようとするのを防ぐことができます。 サイトでこの機能を有効にする最も簡単で効率的な方法は、プラグインを使用することです。 サイトにMalCare をインストールしますファイアウォールとログイン保護が付属しています。 これにより、ブルート フォース攻撃からサイトが保護されます。

WordPress 制限ログイン試行とは何ですか?

デフォルトでは、WordPress はサイトへのログイン試行を無制限に許可します。 ユーザー名とパスワードの組み合わせは、好きなだけ試すことができます。

ワードプレスのログインページ

ハッカーはこれを認識しており、この設定を悪用します。 まず、盗んだデータや購入したデータとともに、よく使用されるユーザー名とパスワードのデータベースをコンパイルします。 次に、ボットをプログラムして WordPress サイトにアクセスし、数分以内に何千ものユーザー名とパスワードの組み合わせを試します。

そうすることで、ハッカーは多くの WordPress サイトに侵入することができます。 これはブルート フォース攻撃と呼ばれ、数分間で何千ものログイン リクエストがウェブサイトに殺到します。

このハッキング方法を使用すると、WordPress ユーザーが脆弱なログイン資格情報を設定する傾向があるという事実により、ハッカーの成功率は高くなります (約 10%)。 10% は低い数字のように思えますが、何百万もの WordPress サイトがあるという事実を考えると、彼らはすぐに何千ものサイトにハッキングすることができます.

ログインの試行回数を制限することで、ハッカーとそのボットを追跡できます。

ユーザーは、正しいログイン資格情報を入力する回数を制限されています。 たとえば、3 回の試行を許可できます。 ユーザーが正しい認証情報を 3 回すべて入力しないと、アカウントからロックアウトされます。

次のようなログイン資格情報を回復するためのオプションが表示されます。

  1. 管理者に連絡してください。
  2. 「パスワードを忘れた」オプションを使用して、一連の質問に答えてパスワードをリセットします。
  3. OTP 検証または電子メール検証によって本人であることを証明します。
  4. キャプチャを解決して、ボットではなく人間であることを証明します。

ボットが 3 回ログインを試みると、これらの障害に直面します。 彼らはそれ以上先に進むことができず、次のターゲットに移動します.

したがって、このセキュリティ対策により、サイトをハッカーから保護し、トラブルの世界を防ぐことができます。 次に、WordPress でログイン試行の制限を設定する方法を紹介します。

WordPress サイトへのログイン試行を制限する方法

WordPress サイトへのログイン試行を制限するには、次の 2 つの方法があります。

  1. プラグインの使用 (簡単)
  2. 手動(難しい)

プラグインは簡単で、すばやく、エラーのリスクがないため、最初にプラグインの使用方法を紹介します。

1.プラグインを使用してログイン試行を制限する

WordPress サイトで制限付きログインを有効にするプラグインがいくつかあります。 では、どのように正しいものを選択しますか?

セットアップが簡単で、プロセスを自動化するプラグインを探してください。 また、プラグインが実際に機能しているかどうかを確認できるように、プラグインがブロックした試行に関するレポートを提供することを確認してください。

サイトへのログイン試行を制限する方法を説明するために、MalCare セキュリティ プラグインを選択しました。 上記の要件を満たしています。 また、ログイン試行を制限するだけでなく、Web サイトを常に保護します。

MalCare を使用すると、Web サイトで CAPTCHA ベースのログイン試行が制限されます。 これは、ユーザーが間違った資格情報を 10 回以上入力すると、CAPTCHA を解決する必要があることを意味します。

CAPTCHA を解決すると、ユーザーは再度ログインを試みることができます。 または、[パスワードを忘れた場合] を使用できますか? 資格情報を取得するオプション。

さぁ、始めよう:

ステップ 1:サイトにMalCare をインストールします。 プラグインを有効にして、WordPress ダッシュボードからアクセスします。

ステップ 2:電子メール アドレスを入力し、 [今すぐサイトを保護する] を選択します。

マルウェアスキャン

ステップ 3: MalCare は、Web サイトのスキャンを自動的に実行する独立したダッシュボードにリダイレクトします。

ステップ 4:サイトでの制限付きログイン試行が自動的に有効になります。 さて、 WordPress のログイン試行制限をどのように使用するのか疑問に思っているに違いありません。

間違った資格情報でログインしようとすると、再試行がブロックされます。

BV からのログイン保護

[ここをクリック] を選択すると、次のような CAPTCHA が表示されます。

BV.png のキャプチャ

CAPTCHA を解決すると、サイトに再度ログインできます。 資格情報を思い出せない場合は、 「パスワードを忘れましたか?」を使用できます。 オプション。

WordPress でパスワードを忘れた

それでおしまい。 ウェブサイトへのログイン試行を正常に制限しました。 これとは別に、MalCare は堅牢なファイアウォールを構築して、悪意のあるボットや悪意のあるトラフィックがサイトにアクセスするのを阻止します. すべてのログイン試行のレポートを提供します。 ダッシュボードでこれにアクセスできます。

MalCare のアクティブなファイアウォール

失敗した試行と成功したログイン試行を確認できます。 また、MalCare が疑わしいと判断して自動的にブロックしたものも確認できます。

マルウェアがログインの詳細をブロックしました。

WordPress プラグインが適していない場合は、プラグインなしで WordPress のログイン試行回数を制限する方法を詳しく説明しました。 ただし、この方法は複雑でエラーが発生しやすいため、注意して進めてください。

2.ログイン試行を手動で制限する

サイトの WordPress ファイルにコードのスニペットを手動で挿入することにより、制限付きのログイン保護をサイトに追加できます。 ただし、WordPress ファイルを手動で変更するたびに、ウェブサイトが破損する危険性があることに注意する必要があります。 些細なミスが大きな問題につながります。

この方法を続行する場合は、 Web サイトの完全なバックアップを取ることを強くお勧めします。 何か問題が発生した場合は、バックアップ コピーをすばやく復元して、サイトを通常の状態に戻すことができます。 BlogVault バックアップ プラグインをサイトにインストールするか、最適なバックアップ プラグインのいずれかを選択して、簡単にバックアップを取得できます

バックアップ コピーを作成したら、次の手順に従います。

ステップ 1:ホスティング アカウントにログインし、 cPanel にアクセスします。 ここで、ファイルマネージャーを選択します。

ステップ 2: public_htmlフォルダー (または Web サイトが存在するフォルダー) を開きます。 wp-content > テーマに移動します。

ステップ 3:アクティブなテーマ フォルダを選択します。 内部でfunctions.phpファイルを見つけます。 例として、アクティブなテーマの名前がPersonal Blogily であるため、このフォルダーを選択しました。

テーマ関数ファイル

ステップ 4:右クリックして[編集] を選択します。 ファイルが開き、ここで変更を加えることができます。 次のコードをファイルに挿入します。

function check_attempted_login( $user, $username, $password ) {

if ( get_transient( 'attempted_login' ) ) {

$datas = get_transient( 'attempted_login' );

if ( $datas['tried'] >= 3 ) {

$until = get_option( '_transient_timeout_' . 'attempted_login' );

$time = time_to_go( $until );

return new WP_Error( 'too_many_tried', sprintf( __( '<strong>エラー</strong>: 認証制限に達しました。%1$s 後に再試行できます。' ) , $time ) );

}

}

$ユーザーを返します。

}

add_filter( 'authenticate', 'check_attempted_login', 30, 3 );

function login_failed( $username ) {

if ( get_transient( 'attempted_login' ) ) {

$datas = get_transient( 'attempted_login' );

$datas['tried']++;

if ( $datas['tried'] <= 3 )

set_transient( 'attempted_login', $datas , 300 );

} それ以外 {

$datas = 配列(

「試した」=> 1

);

set_transient( 'attempted_login', $datas , 300 );

}

}

add_action( 'wp_login_failed', 'login_failed', 10, 1 );

関数 time_to_go($timestamp)

{

// mysql タイムスタンプを php 時間に変換

$期間 = 配列(

"2番"、

"分"、

"時間"、

"日"、

"週"、

"月"、

"年"

);

$lengths = 配列(

「60」、

「60」、

「24」、

"7"、

「4.35」、

「12」

);

$current_timestamp = time();

$difference = abs($current_timestamp – $timestamp);

for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) – 1; $i ++) {

$difference /= $lengths[$i];

}

$difference = round($difference);

if (isset($difference)) {

もし ($差 != 1)

$periods[$i] .= “s”; $output = "$difference $periods[$i]";

このコードは、ログイン試行を 3 回に制限します。

ステップ 5:ファイルを保存して終了します。

このコードを Web サイトに埋め込むと、ユーザーは正しいログイン資格情報の入力を 3 回試行できます。 そうしないと、一時的にアカウントへのアクセスがブロックされます。

WordPressログインの制限に達しました

この方法を選択する唯一の理由は、サイトでのプラグインの使用を最小限に抑え、独自に機能を有効にしたい場合です. それ以外は、プラグインを使用してこのタスクを処理する方がはるかに安全で簡単です。

それでおしまい! サイトへのログイン試行を制限することに成功し、ハッカーやボットがサイトにアクセスするのを防ぎました!

また読む:WordPressログインが安全でない問題を修正する方法

WordPress サイトでのログイン試行を制限する必要がありますか?

WordPress サイトに実装するものには、常に長所と短所があります。 そのため、サイトでログイン試行回数の制限を有効にする前に、メリットとデメリットについて説明します。 これは、この機能が Web サイトに適しているかどうかを判断するのに役立ちます。

ログイン試行回数を制限するメリット

  • 不正アクセス防止

サイトへのログイン試行を制限することで、ハッカーや悪意のあるボットがログイン ページにブルート フォースでアクセスしてアクセスするのを防ぐことができます。

一時的なロックアウトは、ボットを思いとどまらせ、サイトから遠ざけるのに十分です。

  • トラフィックの急増とサーバーのクラッシュを防ぐ

前述したように、ブルート フォース攻撃では、ボットは何千ものユーザー名とパスワードの組み合わせを試みます。 試行するたびに、ボットは Web サーバーにリクエストを送信します。

Web サーバーは、ログイン要求など、Web サイトでタスクや機能を実行するためのリソースを提供します。 ボットが 1 分間に数千のリクエストでサイトを攻撃すると、サーバーが過負荷になり、クラッシュする可能性があります。

あなたのサイトは、訪問者が一時的に利用できなくなります。

  • Web ホストの停止を防ぐ

Web サーバーには、Web サイトを実行するためのリソースが限られています。 リソースを超えると、サーバーが過負荷になります。

共有ホスティング プランを使用している場合、これは同じサーバー上の他の Web サイトに影響を与える可能性があります。

ボットが何百回もログインを試みている場合、サイトは過剰なサーバー リソースを使用しています。 これにより、ホスティング プロバイダーは、サーバー上の他の Web サイトへの影響を避けるためにサイトを一時的に停止するように求められます。 彼らはまた、自分の利益を守るためにそれを行います。

ログイン試行制限の短所

  • アカウントのロック –ユーザー名とパスワードを誤って忘れた場合、アカウントからロックアウトされる可能性があります。 パスワードを回復するには、確認プロセスに従う必要がありますが、これには時間がかかる場合があります。

それが私たちが考えることができる唯一の短所です。 サイトにログイン保護を実装しない理由は他にありません。 WordPress のログイン試行回数を制限する代替手段を探している場合は、2 要素認証を試すことができます。 これにより、WordPress のログイン ページも保護されます。 MalCare は 2 要素認証のベータ版を開始しました。これには Google Authenticator を使用できます。

とはいえ、WordPress の制限付きログイン試行は実装が簡単で、サイトをハッカーから保護します. ログイン試行を制限し、Web サイトを保護することに関しては、長所が短所をはるかに上回っていることがわかります。

最終的な考え

WordPress は、世界で最も人気のある CMS (コンテンツ管理システム) です。 しかし、この人気はハッカーの注目を集めています。

WordPress サイトは常にハッカーの標的になっています。 そのため、サイトで十分なセキュリティ対策を講じることがさらに重要です。 WordPress のログイン ページが最も攻撃されているページであることを考えると、ログイン試行を制限することから始めるのが適切です。

WordPress のログイン ページをさらに保護したい場合は、次のリソースが役立つことがあります。

WordPress ログイン セキュリティ

HTTP 認証によるパスワード保護ログイン ページ

ブルート フォース攻撃から WordPress サイトを保護する

二要素認証

オールラウンドで簡単かつ堅牢なセキュリティ ソリューションを探している場合は、MalCare プラグインの使用をお勧めします。 サイトを定期的にスキャンし、強力なファイアウォールを設定し、ログイン試行を制限し、疑わしいものがあれば警告します。 24 時間体制でサイトを保護します。

MalCare でWordPress サイトをハッカーから保護しましょう!