WordPressの管理画面への不正アクセスを防ぐためプラグインの「Login LockDown」を入れています。簡単な設定だけで不正ログインを防ぐことができ、指定した回数以上ユーザー名やパスワードの入力を間違うと一定時間ログインできなくします。いつやってくるか分からない不正アクセスに備えてインストールしておきたいセキュリティ系プラグインです。

WordPressのログインへ「ドメイン名/wp-login.php」と決まっているため、ドメイン名と組み合わせれば誰でもログイン画面を表示することができます。ディレクトリをひとつ作って「ドメイン名/ディレクトリ/wp-login.php」とすることもできますが、これだけではセキュリティが不安です。ブルートフォースアタック、つまり総当り攻撃を受けると管理画面にアクセスされてしまう恐れがあります。
「Login LockDown」はWordpressのログイン画面でユーザー名とパスワードを入力する際、指定した回数以上に入力を間違えると一定時間、管理画面へログインできなくするプラグインです。不正アクセスを防ぐことを目的としたセキュリティ対策用のプラグインです。

2年以上アップデートが行われていないのが気になりますが、今のところ最新版のWordpressでも問題なく動作しています。同じような機能を持つ「Simple Login Lockdown」もありますが、設定項目が2つしかないので「Login LockDown」にしました。

インストールしたらまずは設定をしておきましょう。設定の中に「Login LockDown」が追加されます。
以下の設定だと「30分以内に5回ログインに失敗したら60分間はログインが不可」となります。

英語なので設定項目を訳しておきます。

【Max Login Retries】
ログインにトライできる回数。例えば3回にすると3回以上ログイン失敗したらログインできなくなる。

【Retry Time Period Restriction (minutes)】
ログイン失敗時間の制限。例えば30分にしておくと、30分以内に上記のMax Login Retriesで指定した回数分ログインに失敗すると、ログインできなくなる。

【Lockout Length (minutes)】
ログインが回復するまでの時間。ログイン失敗後、指定した時間を過ぎると再びログインできるようになる。それまではログインできない。

【Lockout Invalid Usernames?】
ユーザーネームを間違えた時もログイン失敗にカウントするかどうか。Yesにしておくと、ユーザー名を間違ってもMax Login Retriesの回数に含まれる。

【Mask Login Errors?】
ログイン失敗時のメッセージをユーザー名、パスワードどちらが間違っているかを隠す設定。
例えばこの設定をNoにすると、ユーザー名を間違えてログインしようとした場合は「無効なユーザー名です」、パスワードを間違えてログインしようとした場合は「パスワードが違います」とのメッセージが出ます。ということは、どちらかが合っていればメッセージで教えてしまうことになります。
この設定をYesにすると以下のようにユーザー名、パスワードのどちらかが正解していても隠してくれます。

【Currently Locked Out】
現在ログイン拒否中のIPアドレスが表示されます。

って、この記事を書くためにわざとユーザー名とパスワードを間違えて入力してたら、指定回数超えてログインできなくなったぁぁぁぁΣ(ﾟДﾟ；
一定時間すぎるとログインできるようになりますが、60分に設定しているので60分はログインできないし記事書けない・・・orz

これがログイン失敗後の画面。失敗したIPアドレスをブロックして一定時間ログインできなくします。まさか自分のブログにアクセス拒否されるとは・・・。

「Login LockDown」を入れたからといって完璧に不正アクセスを防げるわけではないですが、ログイン回数制限を指定しないよりは指定していた方が安全ではありますね。ユーザー名とパスワードを保存しているので、スマホやタブレットなどの他の端末からログインしようとした時、「あれ？どのパスワード使ってたっけ？」となることもあるでしょう。失敗したら一定時間ログインできないのでご注意を！