Login Security Solutionプラグインの使い方

広告

Login Security SolutionプラグインはWordPressへのログインに関するセキュリティ強化を行うことができます。WordPressを使ったブログに対するブルートフォースアタック(総当たり攻撃)などの被害が増えています。このプラグインを導入することで一定回数ログインが失敗した場合はログイン処理をに時間がかかるようにしたり管理者へ通知を行うといった設定が行えます。ここではLogin Security Solutionプラグインのインストール方法と使い方について解説します。

Login Security Solutionプラグインをインストールにするには「プラグインのインストールと有効化」プラグインのインストールと有効化」を参考に「プラグインのインストール」画面を表示し検索ボックスで「Login Security Solution」と検索されて下さい。

p15-1

「Login Security Solution」プラグインが表示されましたら「いますぐインストール」と書かれたリンクをクリックしてインストールして下さい。

p15-2

インストールが完了します。

p15-3

なおダウンロードしてインストールされたい場合は下記のURLからダウンロードできます。

p15-4

インストールが終わりましたらプラグインの有効化を行って下さい。利用するための準備はこれで完了です。

p15-5

プラグインを有効にするとダッシュボードなどの画面上部に次のようなメッセージが表示されます。

p15-6

このメッセージには「プラグインを有効化する前に設定されたユーザーのパスワードはセキュリティが弱いものが多いので一度全てのユーザーのパスワードを再設定することを推奨する」といったことが書かれています。変更するしないに関わらず「Change All Passwords」と書かれたリンクをクリックして下さい。

p15-7

次のように選択肢が2つ画面に表示されます。

p15-8

パスワード変更を行うにしても個別に行うことにして、この時点では変更をしませんでした。「No thanks, ...」の方にチェックをした上で「Do not remind me about this」をクリックします。

p15-9

これでダッシュボードなどの画面上部に表示されていたメッセージは表示されなくなります。

プラグインの設定を行うには管理画面の「設定」メニューの中にある「Login Security Solution」メニューをクリックして下さい。

p15-10

Login Security Solutionプラグインの設定画面が表示されます。

p15-11

それではまずログインの試行回数に関する制限設定を行います。具体的にはログインに失敗した回数に応じてログインの試行に時間がかかるように設定したり、ログインの失敗を繰り返すユーザーがいた場合にメールで通知する設定を行います。

p15-12

Match Time」はどれくらい前までのログイン失敗履歴を確認するのかを設定します。単位は分でデフォルトでは120分となっています。何回同じ人が失敗したのかが重要となりますが、120分以上前に失敗した履歴は参照されません。

Delay Tier 2」は何回失敗した時にログイン処理を遅らせる(4秒~30秒)のかを設定します。2回以上の値を指定する必要がありデフォルトでは5回となっています。

Delay Tier 3」も何回失敗した時にログイン処理を遅らせる(25秒~60秒)のかを設定します。「Delay Tier 2」の時よりも長い時間ログインすることができません。「Delay Tier 2」で設定したよりも大きい値を指定する必要がありデフォルトでは10回となっています。

※ つまり、まず「Delay Tier 2」で指定した回数失敗すると4秒から30秒程度ログインができず、さらに失敗した回数が「Delay Tier 3」で指定した回数に達すると25秒から60秒ログインすることができなくなります。(実際にどのようになるのかは後述します)。

p15-13

Failure Notification」で設定した回数ログイン失敗が発生すると、「Notifications To」で指定したメールアドレス宛てにメールが送信されます。「Failure Notification」のデフォルトは50で0を設定するとメール送信が行われなくなります。また「Notifications To」で複数のメールアドレス宛てに送信したい場合にはカンマ(,)で区切って入力します。省略した場合はデフォルトのメールアドレス宛てに送信されます。

Multiple Failure Notifications」では指定しか回数ログインに失敗した時の通知メールをその都度送信するか、それとも最初に発生した時だけ送信するのかを設定します。デフォルトでは最初の1回だけになっています。

Breach Notification」は最終的にログインに成功しても指定した回数失敗した場合には通知メールを送信するかどうかの設定を行います。デフォルトでは6が設定されており0を設定するとメール送信が行われなくなります。

Breach Email Confirm」は最終的にログインに成功しても指定した回数失敗した場合、ログアウトを行った上でパスワードを忘れた場合の処理を行うように設定できます。デフォルトでは6が設定されており0を設定するとこの機能は使われなくなります。

ログインに関連する設定は以上となります。設定変更を行った場合には画面下部にある「変更を保存」ボタンをクリックして下さい。

p15-14

----

それでは実際に試してみます。WordPressへのログイン画面で何度かログインに失敗しているとログイン処理が実行されるのが遅くなります。具体的にはユーザー名とパスワードを入力し「ログイン」ボタンをクリックすると、そのまま指定した秒数だけ何も処理が行われません。

p15-15

1回ログインを試すのに毎回ある程度時間待たなければいけないので、総当たりでパスワード入力を試す攻撃には有効かと思います。

「Failure Notification」で設定した回数ログイン失敗すると、次のようなメールが届きます。(一部伏字にしてあります)。

件名:ATTACK HAPPENING TO よろず日記
本文:
Your website, よろず日記, is undergoing a brute force attack.

There have been at least 3 failed attempts to log in during the past 120 minutes 
that used one or more of the following components:


Component                    Count     Value from Current Attempt
------------------------     -----     --------------------------------
Network IP                       3     xxx.xxx.xxx.*
Username                         3     xxxxx
Password MD5                     1     xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

The most recent attempt came from the following IP address: xxx.xxx.xxx.xxx

The Login Security Solution plugin (0.43.0) for WordPress is repelling the attack 
by making their login failures take a very long time.  This attacker will also be 
denied access in the event they stumble upon valid credentials.

Further notifications about this attacker will only be sent if the attack stops 
for at least 120 minutes and then resumes.

また「Breach Notification」が設定されている場合は次のようなメールが届きます。(一部伏字にしてあります)。

件名:POTENTIAL INTRUSION AT よろず日記
本文:
Your website, よろず日記, may have been broken in to.

Someone just logged in using the following components. Prior to that, some 
combination of those components were a part of 3 failed attempts to log in during 
the past 120 minutes:


Component                    Count     Value from Current Attempt
------------------------     -----     --------------------------------
Network IP                       3     xxx.xxx.xxx.*
Username                         3     xxxxx
Password MD5                     1     xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

They logged in from the following IP address: xxx.xxx.xxx.xxx

WARNING: The 'Breach Email Confirm' setting you chose means this person has 
NOT been logged out and will NOT be required to confirm their identity.

A notification about this potential breach has been sent to the user.

This message is from the Login Security Solution plugin (0.43.0) for WordPress.

このように一定期間内にログインに何回か失敗している場合、またログインには成功しているけれどその前に何度か失敗している場合にはメールにて連絡を受け取ることができます。

次に安全なパスワードを設定するための制限追加に関する設定を行います。

p15-16

Length」はパスワードの長さを最低何文字にするのかを設定します。10文字以上の値を設定して下さい。デフォルトでは10になっています。

パスワードは「Length」で指定した長さだけではなく大文字と小文字、そして数字や記号(例えば「/」)を含めたものにする必要があります。「Complexity Exemption」はそういった制限なしでパスワードを設定したい場合にがパスワードの長さを最低何文字にするのかを設定します。20文字以上の値を設定して下さい。デフォルトでは20になっています。

Aging」はパスワードの有効期限の日数を指定します。0を指定した場合はこの機能は無効となります。有効期限を設定するのは推奨されていないようですので使用しない場合は0のままにしておいて下さい。

Grace Period」はユーザーが自分のパスワードが有効期限が切れていると分かってから変更が許される時間を分単位で指定します。5分以上の値を設定して下さい。デフォルトでは15分になっています。

過去に設定したことのあるパスワードを再度使用できないように設定することができます。「History」ではいくまで過去のパスワードを記憶して同じパスワードは設定できないのかを指定することができます。0を指定した場合はこの機能は無効となります。デフォルトは0です。

----

それでは実際に試してみます。既存のユーザーのパスワード変更画面で試してみます。

p15-17

「Length」で設定した文字数よりも少なかったり、多くても大文字小文字が混じっていなかったり数字や記号が含まれていないとエラーとなってパスワードが設定できませんでした。

p15-18

ただし「Complexity Exemption」で設定した文字数以上であれば、大文字と小文字が混じっていないパスワードであっても設定ができました。

その他にもいくつかの設定項目が用意されています。

p15-19

Idle Timeout」は管理画面にログイン後、何分操作しないと自動でログアウトするのかを設定します。0を設定した場合はこの機能は無効となります。デフォルトでは15分になっています。

Maintenance Mode」は管理者だけがログインできコメントの投稿もできなくなるモードです。必要な時以外は「Off, let all users log in.」のままでいいかと思います。

Deactivation」はLogin Security Solutionプラグインを一時的に無効にした時に設定とデータを全て削除するかどうかを選択します。将来的に再利用する予定がある場合は「No, preserve the data for future use.」を選択しておいて下さい。

----

それでは実際に試してみます。「Idle Timeout」が設定してある場合には、WordPressにログイン後、一定時間操作を行わなかった後で何か操作をしようとするとログインを改めて行う必要があります。

p15-20

--------

Login Security Solutionプラグインを使ってログインの試行回数に関する制限を設定したり、ログイン用パスワードをよりセキュリティ的に高いものに限定するように設定する方法について解説しました。

( Written by Tatsuo Ikura )

関連記事 (一部広告含む)