ColorfulBoxでインストールしたWordPressにあるLimit Login Attempts Reloadedとは?【サイトを守ってくれる強い味方です】

WordPress をインストールすると、実はサーバーによって初期設定の段階でインストールされているプラグインが違うことがあるんです。

そして「ColorfulBox」で WordPress をインストールした場合には、以下の3つがインストールされています。

最初からインストールされているプラグイン
  • Akismet Anti-Spam
  • Hello Dolly
  • Limit Login Attempts Reloaded

「Akismet Anti-Spam」「Hello Dolly」は日本語の説明があるのですが、3つ目の「Limit Login Attempts Reloaded」は英語での要約しかないので、どのようなプラグインか分からないという人も多いと思います。

今回は、「Limit Login Attempts Reloaded」とはどのようなプラグインなのかを紹介していきましょう

Limit Login Attempts Reloaded の使い方

「Limit Login Attempts Reloaded」というプラグインを簡単に説明すると、他人がログインをしようと試みた時に、連続して失敗するとロックをかけたりアクセスできないようにするためのもの

Limit Login Attempts Reloaded

>> https://ja.wordpress.org/plugins/limit-login-attempts-reloaded/

他人といっても大抵はツールを使って総攻撃するので、手当たり次第にログインを試みてサイトを乗っ取ろうとします。

WordPress に限ったことではないのですが、そのような乗っ取り行為を未然に防ぐためにもユーザー名やパスワードは難しいものにすることが大切になってきます。

もしECサイトなどの個人情報を扱うような場合などには、「Limit Login Attempts Reloaded」のようなプラグインが不可欠となってきますね

Limit Login Attempts Reloaded の基本

「Limit Login Attempts Reloaded」は初期設定として、以下の内容で設定がされています。

Limit Login Attempts Reloaded

Lockout
  • 「4」allowed retries:ログインの失敗を許す回数
  • 「20」minutes lockout:ロック後、次にログインできるようになるまでの時間
  • 「4」lockouts increase lockout time to「24」hours:ロックされた回数が設定回数を超えた場合、次にログインできるようになるまでの時間
  • 「12」hours until retries are reset:リトライをリセットするまでの時間
Notify on lockout
  • Lockout log:ロックしたことの履歴を残すかどうか
  • Email to「メルアド」after「4」lockouts:何回ロックされたらメールで通知するか

上記以外はチェックが入っていなかったり、リストが空欄になっているはずです。

これらの設定は初期設定のままで十分だと思いますが、ログインの失敗を許す回数を数回減らしても良いかもしれません。

また、メール通知についても初期設定ではチェックが入っていませんが、いつもプラグインの設定画面をチェックするわけではないので、通知を受け取れるようにチェックを入れておく方が安心ではないかと思います

GDPR compliance について

「GDPR compliance」の項目は、初期設定の段階でチェックは入っていません。ただし、サイトが GDPR に準拠する場合にはチェックを入れます。

また、サイトを運営する会社が250人を超える場合には必ず履歴を保管する必要があるので、その場合は「Lockout log」に必ずチェックを入れておきましょう。

Whitelist

「Whitelist」は、ログインを許可するためのリストとなるので、ログインする IP が分かっている場合には入れておくと安心です

Blacklist

「Blacklist」は、ログインを最初から許可しない人を入力するリスト。履歴を見て身に覚えのない IP から何度もログインを試みようとしていた場合、その IP を設定しておきましょう

他の2つのプラグインも簡単に解説

「Limit Login Attempts Reloaded」の他にもインストールされているプラグインがあるので、その2つも簡単に解説しておきましょう。

Akismet Anti-Spam

「Akismet Anti-Spam」はサーバーに関わらず、必ずインストールされているプラグインの1つ。

有効にすると、コメント欄に入力されるスパム行為を防ぐ効果があります。そのため、コメント欄を設けない場合には基本的に不要と言えるでしょう。

「Akismet Anti-Spam」を有効にすると逆にスパムが増えたという声もあり、コメント欄を設けていても利用しないほうが良いという意見もあったりします。

しかも、商用でサイトを利用する場合には有料プランにアップデートしなければならないということから、スパム行為を防ぐ別のプラグインを利用する人も多いです。

Hello Dolly

「Hello Dolly」は、ルイ・アームストロングの曲「Hello Dolly」の歌詞が WordPress の管理画面に表示されるというもの。

ただそれだけなんですが、世界で最初の WordPress 用プラグインでもあります。

Hello Dollyというプラグインは削除しても大丈夫?【不要でも歴史的なプラグイン】の記事でも紹介していますが、文字を変えたりして遊ぶことはできます。

Hello Dollyというプラグインは削除しても大丈夫?【不要でも歴史的なプラグイン】

さいごに

「Limit Login Attempts Reloaded」はサイトを乗っ取られないようにするためのプラグインではありますが、同じ機能が利用できるプラグインは他にもいくつかあります。

似た名前の「Limit Login Attempts」というプラグインは、何年も更新しないことから他の人が見かねて「Limit Login Attempts Reloaded」を作ったという経緯もあります。

どのプラグインにしろ、他の人によってサイトが乗っ取られないように使っておきましょうね