初期状態のままで大丈夫? Loginizerの設定をしておこう!

2018年9月19日ブログ管理Loginizer, WordPressプラグイン, プラグイン, ブログ管理, 初心者

Loginizerヘッダー

ぐず夫
ぐず夫
1個聞きたいんやが、この最初から入ってるLoginizerっちゅうプラグインはなんじゃ?
トリ師匠
トリ師匠
(…またまた完全に忘れとった)
ああ、それは不正なログインを防ぐプラグインじゃ。そういえば初期設定でインストールしたままじゃったかの。
ぐず夫
ぐず夫
…さてはトリ、忘れてたな?
トリ師匠
トリ師匠
そ、そ、そんなことはないぞ。おっとあかん、そろそろ寄り合いの時間じゃ。あとは頼んだぞダンパ
ぐず夫
ぐず夫
逃げやがった。いつか目に物見せたる。

◆プラグインを入れた覚えがないけど?という方はコチラを確認

ということで、今回は不正ログイン対策のプラグイン、Loginizerを設定するぞ!

Loginizerとはなんぞや

Loginizerとは?

ダンパ
ダンパ
こちらのプラグインはWordPress初期状態でインストール選択の対象となっているセキュリティ対策用ソフトです。基本的には初期状態で設定が完了しています。
ぐず夫
ぐず夫
きゅうり? ワシ、キュウリはあんま好かんのやが…
ダンパ
ダンパ
セキュリティーです!
不正にログインしてブログを乗っ取る行為を防ぐのがLoginizerの主な役割になります。
ぐず夫
ぐず夫
の、乗っ取られるんか、ワシのブログ。
終わりや、この世の終わりや…
ダンパ
ダンパ
だから乗っ取られないために入れるの!
ブルートフォースアタック(※)を使って強引にサイトを乗っ取られないために、ログインの最大試行回数やIP制限をすることができるんです。
ぐず夫
ぐず夫
…なんやよく分からへんけど、そいつを入れとけば大丈夫なんか?
ダンパ
ダンパ
完璧ではありませんが、大きな効果は見込めるでしょう。先にも言いましたが、プラグインが有効になっていれば自動で設定されるため慌てる必要はありませんが、せっかくですから1つずつ中身を確認してみましょう。

※ ブルートフォースアタックとは…
理論的にありうるパターン全てを試す暗号解読方。例えば4桁の数字なら、0000から9999まで順に全てを試す方法。(詳しく知りたい方はコチラ)

Loginizerの設定は?

Loginizer設定

ダンパ
ダンパ
まずLoginizerで設定できる項目を確認してみましょう。
Loginizerで設定・確認できる項目一覧!

1.自ページのシステム確認
2.ファイルのアクセス許可状況確認
3.ログインアクセスログの確認
4.ブルートフォース設定
5.ブラックリストIP設定
6.ホワイトリストIP設定
7.エラーメッセージの設定

ダンパ
ダンパ
設定が必要な項目は4~7の部分となっています。それでは各項目を確認してみましょう。まずは管理画面の「Loginizer Security」から「ダッシュボード」を選択です!

ダッシュボード

◆Loginizerをインストールしていない方はコチラを参考に…

自ページのシステム確認(System Information)

状態確認

自分のサイトの基本的な情報が表示されます(※画像は一部加工しております)。

① Loginizer Version
Loginizerのソフトバージョンです。

② URL
あなたのサイトのURLです。

③ Path
あなたのサイトのパス情報です。

④ Server’s IP Address
サイトが置かれているサーバーのIPアドレスです。

⑤ Your IP Address
管理画面にアクセスしているあなたのIPアドレスです。

⑥ wp-config.php is writable
wp-config.phpが書き込み可能か不可能かを表示します。

⑦ .htaccess is writable
.htaccessが書き込み可能か不可能かを表示します。

ダンパ
ダンパ
あなたが使用している現時点のシステム情報が確認できます。ここは確認ができるだけですから、修正する場合はプラグイン設定外で作業が必要です。
ぐず夫
ぐず夫
べっと、ベットベト。
ダンパ
ダンパ
…なんならベトベトに溶かして埋めますよ?
ファイルのアクセス制限に関しては近々説明する機会を設けましょう。今回は確認だけで構いません。

◆ファイルのパーミッション設定はコチラ!

ファイルのアクセス許可確認(File Permissions)

リスト一覧

【File Permissions】
各システム管理ファイルのアクセス許可情報を確認することができます。
(※画像は一部加工しています)

ぐず夫
ぐず夫
右側の四桁の数字はなんやの?
ダンパ
ダンパ
この数字は各ファイル毎のアクセス制限状況を示しています。こちらも確認のみですから、後日また説明します。では次、「Loginizer Security」から「Brute Force」を選択してください!

ブルートフォース選択

アクセスログの確認(Failed Attempts Logs)

ログ一覧

ログインを試みた時間、IPアドレス、ログインに失敗した回数、ロックした回数、攻撃したURL等が確認できます。

ぐず夫
ぐず夫
なんや知らんうちに攻撃されてたんかい。恐い、恐ろしいのう。
ダンパ
ダンパ
確かにプラグインが無かったらと思うと恐いですね。セキュリティーは常に意識しておくことが重要です。

 

ブルートフォース設定(Brute Force Settings)

ブルートフォース設定

ブルートフォースアタックに対する制限とルールを設定することができます。

⑧ Max Retries
ロックアウト(ログイン制限)されるまでにログイン試行可能な回数
→ 3回に設定

⑨ Lockout Time
ロックアウトの時間を設定します
→ 60分に設定

⑩ Max Lockouts
ロックアウトの限界数
→ 2回に設定

⑪ Extend Lockout
最大ロックアウト回数に達した場合のログイン操作の禁止時間
→ 24時間に設定

⑫ Reset Retries
再び試行可能となるまでの時間
→ 24時間に設定

⑬ Email Notification
設定した回数ロックアウトした場合にメール通知をする機能
→ 0に設定(通知無し)

ダンパ
ダンパ
総当たりで攻撃してくる者に対してログインできる回数を制限することで排除する設定ですね。全て設定したら、「Save Settings」を押して保存します。

ブラックリストIP設定(Blacklist IP)

ブラックリスト

異常な動きをするIPアドレスについて接続を排除する機能です。

⑭ Start IP
ブラックリストに登録したいIPアドレスを入力する。
→ アクセスログを参考に、異常なログインを繰り返すIPアドレスをコピーし追加することで該当ページにアクセス不可能にすることができます。

例: XX.XX.XX.00

⑮ End IP (Optional)
ブラックリストに登録したいIPアドレスを範囲で入力する場合に記述します。

例: XX.XX.XX.09
※⑭⑮の例の場合、XX.XX.XX.00~XX.XX.XX.09が登録対象となります。

ダンパ
ダンパ
基本的に1つのIPをブラックリスト登録する場合は⑭だけに入力し「Add Blacklist IP Range」を押せばOKです。

 

ホワイトリストIP設定(Whitelist IP)

ホワイトリスト

警戒する必要のないIPアドレスを登録する機能です。(例:自分のIPアドレス等)

⑯ Start IP
ホワイトリストに登録したいIPアドレスを入力する。
→ 特段必要なければそのままで構いません。

⑰ End IP (Optional)
ホワイトリストに登録したいIPアドレスを範囲で入力する場合に記述します。
→ 特段必要なければそのままで構いません。

ダンパ
ダンパ
入力方法は基本⑭⑮と同じです。個人的にはセキュリティー面を考慮すると、わざわざ入力する意味はないと考えています。
ぐず夫
ぐず夫
でも登録しとかへんとログイン沢山失敗したらブログ使えなくなるんやろ?
ダンパ
ダンパ
確かにそうです。ただ反対にここで登録したIPアドレスを抜かれるようなバグがあった場合、悪用される恐れもあります。むしろログインを失敗しなければ良いだけです。あなたが毎回間違えず、正しく入力しさえすれば何も問題ありません。
ぐず夫
ぐず夫
(真面目子パンダめ)

 

エラーメッセージの設定(Error Messages)

エラーメッセージ

ログイン時のエラーメッセージを個別に設定したい場合に入力します。

⑱ Failed Login Attempt
ログイン失敗時のメッセージを設定
→ 各自自由(ぐず夫は空欄)

⑲ Blacklisted IP
ブラックリスト登録されたIP向けに表示されるメッセージ設定
→ 各自自由(ぐず夫は空欄)

ダンパ
ダンパ
「Save Error Messages」を押したら全設定完了です。

設定を終えて…

ぐず夫
ぐず夫
なんや分からん言葉がまた出てきたやん。もう勘弁してほしわ…
ダンパ
ダンパ
分からないならば分かるまで勉強するしかありませんよ
ぐず夫
ぐず夫
やかましい子パンダ!

ということで、Loginizerの設定は以上です。

それではまた次回!