ブルートフォースアタックに特化したセキュリティプラグイン

WordPressのセキュリティ対策上に、非常に有用なプラグインとしてはSiteGuard WP Pluginがありますが、Loginizerはブルートフォースアタックに特化したセキュリティプラグインです。SiteGuard WP Pluginは管理ページアクセス制限、ログインページ変更、画像認証などもカバーしており設定項目もそれなりに多いので、Loginizerのように、この機能を取り入れるだけならほぼほぼ設定不要、という簡便さを優先したい場合は、こちらを使うのも選択肢としてはアリです。

Loginizer
ブルートフォースアタックは、別称で「総当たり攻撃」と呼ばれています。その名から連想できるようにパスワードを総当たりし、セキュリティを突破します。例えば4桁の数字パスワードが設定されていたら、0000から9999までの1万パターン全てを試せば必ず解除することができます。そのため、最近のセキュリティポリシーでは英数大文字小文字、特殊文字（記号）、何文字以上といった制限やパスワード入力の試行回数を制限することで対策を行っています。

WordPress Codex 日本語版　ブルートフォース攻撃について
ソフトウェアの脆弱性に着目する攻撃とは異なり、ブルートフォース攻撃(Brute Force Attack) は、非常に単純な方法でアクセス権を取得しようとします。ユーザー名とパスワードを入力し、ログイン成功するまで繰り返します。 美しくないですが、ユーザー名 admin パスワード 123456 のようなものを採用している場合、攻撃が成功しやすいです。手短に言うと、ウェブサイトのセキュリティで一番脆い場所、つまり、あなた、を狙っているのです。攻撃の性質上、サーバーのメモリ上限に達してパフォーマンス低下を引き起こすかもしれません。http リクエストの数 (あなたのサイトを訪問する回数) が非常に多いため、サーバーがメモリ不足になるからです。この攻撃は、WordPress 特有のものではありません。すべてのウェブアプリケーションに起こりえます。しかし WordPress は良く利用されているため、攻撃の標的となりやすいです。

設定方法

設定画面はありますが、プラグインを有効化した時点で既にデフォルトのブルートフォースアタック対策は行われています。デフォルトに設定を加える場合に設定画面で設定をします。

• Max Retries 最大試行回数
• Lockout Time 最大試行回数後のログイン操作禁止時間
• Max Lockouts 最大ロック回数
• Extend Lockout 最大ロック回数後のログイン操作禁止時間
• Reset Retries 再試行を可能とするまでの時間
• Email Notification メール通知条件

IPアドレスをブラックリストに追加してアクセスを拒否したり、逆にホワイトリストを作成してアクセス拒否しないIPアドレスを設定することもできます。

インストール方法

他のプラグイン同様、WordPress管理画面 ＞ プラグイン ＞ 新規追加 ＞「Loginizer」で検索