WordPressのセキュリティ事情は、バージョンが上がるたびに良くなっています。

ですが、それだけでは完璧と言えないのをご存知でしょうか?

常識的な話となって大々的にアナウンスされていませんが、セキュリティ対策は自分でやらなければならない必須事項です。

セキュリティと言ってはいますが、具体的には不正アクセス対策です。

よくテレビのニュースで取り上げられているもので個人情報漏洩がありますが、あれは不正アクセスされた結果です。

(WordPressが関わっているわけではありませんが。)

ハッカーたちはあの手この手を使ってWordPressを乗っ取ろうとしているんですね。

そこで今回は不正ログイン対策の中でも重要なログイン試行回数を制限する系のプラグインを5つ紹介します。

なぜログイン試行回数を制限する必要があるのか


プロバイダーでもSNSでもゲームでも何でもいいのですが、アカウントにログインしようとしている時、パスワードを忘れてしまって何回か間違うとログインが一時的にロックされたことはありませんか?

これはブルートフォースアタックという、パスワード総当たり攻撃を防ぐためです。

3択クイズの正解は3回答えるチャンスがあれば必ず正解します。

5択クイズの正解は5回答えるチャンスがあれば必ず正解します。

10択クイズの正解は10回答えるチャンスがあれば必ず正解します。

100択クイズの正解は100回答えるチャンスがあれば必ず正解します。

10000択クイズの正解は10000回答えるチャンスがあれば必ず正解します。

  ・
  ・
  ・

という感じで、パスワードは文字列の組み合わせなので、いくら複雑になっていても、答えるチャンスを制限しなければいつかは正解されてしまうんです。

ハッカーはこの作業を人力で行っているのではなく、プログラムを使って自動的に、それも何日もかけて行い、ログイン情報取得を狙ってきます。

最近のWordPressではパスワードを難解なものにしないとインストールできなくなっていますが、その理由はこのハッカーによる攻撃でログイン情報が分かってしまうまでの時間を稼ぐためですね。

  • ・最近WordPressが重くなったなぁ
  • ・最近変なアクセスが多い

など、時間さえあれば異変に気付き、何らかの対策が取れますので。

そんな不正アクセスを手っ取り早く簡単に防止できるものの1つが、ログイン試行回数制限系プラグインです。

WordPressで必須のログイン試行制限系セキュリティプラグイン5選


今回紹介するログイン試行制限系セキュリティプラグインは以下の5つです。

  • Limit Login Attempts
  • Limit Login Attempts Reloaded
  • miniOrange Limit Login Attempts
  • Limit Attempts by BestWebSoft
  • WP Limit Login Attempts

この5つは全てWordPress公式に登録されているプラグインです。

公式に登録されているプラグインはコミュニティが充実しているので安心感があります。

セキュリティプラグインなので特に大事ですね。

また、5つとも無料で使えるものです。

更に、5つともインストール&有効化するだけでとりあえずログイン試行回数が制限できます。

Limit Login Attemptsなんかは有名なので既に使っている方や、名前は知っているという方も多いでしょう。

しかし、2018年6月現在、6年間更新されていません。

さらに似たような名前のプラグインもいくつかあります。

  • ・更新されていないプラグインってどうなの?
  • ・似た名前だけど何が違うの?

などなど気になることもありますので、この辺のところも含めて解説していきます。

ログイン試行制限系セキュリティプラグイン比較表


まずは5つを比較しやすいように表にまとめてみました。

さらっとご確認ください。

Limit Login Attempts Limit Login Attempts Reloaded miniOrange Limit Login Attempts Limit Attempts by BestWebSoft WP Limit Login Attempts
試行回数 4 4 10 5 5
ロック時間 20分 20分 永久 90分 10分
IP制限 × ×
GDPR × × × ×
ログインURL変更 × × × ×
XML-RPC設定 × × × ×
認証設定 × × ○※1 × ○※2
自動ログアウト × × × ×
ログ確認 × × × ×
最終更新日 6年前 1か月前 3か月前 2か月前 7か月前
アクティブ
インストール
200万+ 90000+ 6000+ 10000+ 40000+

※比較表のデータは2018年6月5日現在のものです。
※1 Google reCAPTCHA
※2 画像認証

それでは個別に解説していきます。

Limit Login Attempts


まずはログイン試行回数を制限するプラグインで最も有名であろうLimit Login Attemptsです。

比較表を見てもわかる通り、6年間更新されていないながらも、200万以上のアクティブインストールがある人気プラグインです。

WordPressの公式プラグインではありますが、2年以上更新されていないので管理画面から検索しても出てきません。

プラグイン公式ページからダウンロードして持ってくる必要があります。

Limit Login Attempts


特徴としてはとにかくシンプルで誰でも使いやすいということです。

Limit Login Attempts 設定画面
設定画面
Limit Login Attempts ログイン失敗時
ログイン失敗時の表示

ログイン試行回数や制限がかかった時のロック時間、ログイン試行回数のリセット時間などの設定項目があります。

他に余計な機能がなく、まさに、ログイン試行回数を制限するためのセキュリティプラグインといえるでしょう。

6年間更新されていない件ですが、公式の評価コメントを見ると、すばらしいプラグインであるという評価とともに、作者さんには、

  • 「いつでも更新する用意があるけどあえてしないんだよね!」
  • 「みんな使っているよ!」
  • 「これからも開発頑張って!」

などのコメントが寄せられていました。

当然、「6年間更新されていないけど・・・」という意見もあり、その返信に他のユーザーさんは

更新されてないことで具体的に何が問題なの?
私たちは普通に最新バージョンのWordPressでも使用できています。
バグもありません。

と返していました。

うん、確かにと思いましたね。

更新する必要がないから更新されていないんです、きっと。

やはり200万以上のアクティブインストールというのがクオリティの高さを物語っていると思います。

Limit Login Attempts Reloaded


2つ目はLimit Login Attemptsに「Reloaded」の文字が足された名前のLimit Login Attempts Reloadedです。

管理画面のプラグイン新規追加から検索しても出てきますし、以下からダウンロードも可能です。

Limit Login Attempts Reloaded


“Reloaded”とはGoogle翻訳によると“補充する”という意味です。

このプラグインは1つ目のLimit Login Attemptsと設定画面がよく似たプラグインです。

Limit Login Attempts Reloaded 設定画面
設定画面
Limit Login Attempts ログイン失敗時
ログイン失敗時の表示

似ているというかほぼ同じですね。

しかし、作者さんは違うので、何年も更新されないのを見かねた方が、機能を追加して再リリースしたものという感じでしょうか。

調べた結果、本当にそのようです。

ログイン失敗時のカウントがLimit Login Attemptsから引き継がれており、中で使われている関数も同じでした。

作者が違うのでLimit Login Attemptsの上位版と言って良いのか分かりませんが、機能的にはLimit Login Attemptsに

  • IPアドレス関連の設定
  • GDPR

が追加されています。

今流行りのGDPRに対応しているあたりはさすがですね。

GDPRとは簡単に説明すると、プライバシー(個人情報)に関する欧州でのルールです。

欧州でのルールなので日本には基本的に関係ありません。

しかし、欧州の人が見たり、欧州のサーバーと通信するとなるとこのルールに準じる必要が出てきます。

詳細は私なんかより詳しい方がたくさん記事にしているともいますので検索してみてください。

話を戻して、GDPR機能とは一体何かですが、公式の説明は以下の通りです。

GDPR compliant. With this feature turned on, all logged IPs get obfuscated (md5-hashed).

訳すと、

GDPRに準拠しています。この機能を有効にすると、ログに記録された全てのIPが分かりにくくなります(md5-hashed)。

だそうです。

まぁログイン試行回数を制限する機能は、Limit Login Attemptsと同じなので優秀です。

miniOrange Limit Login Attempts


3つ目はみかんのロゴがかわいらしいminiOrange Limit Login Attemptsです。

インストール方法は、管理画面のプラグイン新規追加から検索しても出てきますし、以下からダウンロードも可能です。

Limit Login Attempts


機能としては豊富で、ログイン試行回数制限以外にもいろいろなことができます。

miniOrange Limit Login Attempts 設定画面
設定画面
miniOrange Limit Login Attempts ログイン失敗時の表示
ログイン失敗時の表示

このプラグインを見ていて気になったのは公式での評価です。

12件の評価があり、その中の4件が最低評価でした。

3分の1が最低評価になるのはなぜだろうとコメントを見てみると、

  • 「登録必須で公平ではありません。」
  • 「登録必須ってリスト取りだろ、不快だ。」

といった感じで、使用するのに登録しなければならないことを不満に思っているのが原因でした。

私も実際に使いましたが、確かにメールアドレスの登録を求められるんですよね。

面倒だなぁとは思っていましたが、他にも煩わしく思った人は何人もいたということでしょう。

しかし、機能としては単なるログイン試行回数制限だけでなく、他にいろいろできるので、他のプラグインが合わなかった時などの代替え候補としては挙げられると思います。

Limit Attempts by BestWebSoft


4つ目はLimit Attempts by BestWebSoftです。

BestWebSoftという会社?グループ?が作ったログイン試行回数を制限するセキュリティプラグインです。

インストール方法は、管理画面のプラグイン新規追加から検索しても出てきますし、以下からダウンロードも可能です。

Limit Attempts by BestWebSoft


設定としては、ログイン試行回数や制限がかかった時のロック時間、ログイン試行回数のリセット時間など基本的なことは全て行えます。

Limit Attempts by BestWebSoft 設定画面
設定画面
Limit Attempts by BestWebSoft ログイン失敗時の表示
ログイン失敗時の表示

有料のPRO版もあり、PRO版にすると

  • ・IPアドレス関連の設定が増える
  • ・reCAPTCHA
  • ・ログ統計
  • ・優先サポート

などの恩恵があります。

ログイン試行回数を制限するだけなら無料で全然いいと思います。

WP Limit Login Attempts


そして5つ目は、Limit Login Attemptsの最初に「WP」という文字が追加された名前のWP Limit Login Attemptsです。

名前から推測するとLimit Login Attemptsと関係してくるのかなと思いきや、設定画面や挙動は結構違うので別物です。

インストール方法は、管理画面のプラグイン新規追加から検索しても出てきますし、以下からダウンロードも可能です。

WP Limit Login Attempts


このプラグインの特徴としては、ログイン試行回数を制限しつつ、ログインする前に画像認証が求められるようになることです。

WP Limit Login Attempts 設定画面
設定画面
WP Limit Login Attempts ログイン画面
ログイン画面

WP Limit Login Attemptsにも無料版と有料版があるのですが、無料版だと設定がいじれません。

ログイン試行を制限する回数やロック時間などがデフォルトのまま変更できませんでした。

無料版だとそこを制限してくるのか・・・、といった印象です・・・。

とはいうものの、デフォルトの設定で問題は無いですし、画像認証があることでよりセキュリティ性が高まるので候補には挙がると思います。

おすすめはどれなの?


と思われるかも知れません。

明確に使う基準があれば、それに沿って選べばいいのですが、ぼんやりとセキュリティを強化しよう!と思っているだけだと確かに迷いますよね。

自分に合うプラグインがどれになるかは、実際使ってみた方が間違いないと思います。

そこで、

  • どのプラグインから試せばいいか
  • どのプラグインがおすすめなのか

というのをランキング形式に解説します。

あくまでのも私の独断と偏見によるものなので参考までにということで。

kin
1
Limit Login Attempts
Limit Login Attempts
なんだかんだ言って一番おすすめできるのは、Limit Login Attemptsです。

Limit Login Attempts Reloadedもありますが、ここは作者さんに敬意を払いオリジナルをおすすめします。
ポイント
  • 簡単!手軽!シンプル!やるべきことはできている!
  • 6年更新されないながらも最新版のWordPressでしっかり動作!
  • 200万以上のアクティブインストール!
gin
2
Limit Login Attempts Reloaded
Limit Login Attempts Reloaded
Limit Login Attemptsで6年更新されていないことがどうしても気になるならLimit Login Attempts Reloadedがおすすめです。

Limit Login Attemptsの機能はそのままに、IPアドレスの設定やGDPRにも対応しています。
ポイント
  • Limit Login Attemptsよりも設定項目が多い!
  • GDPRにも対応済み!
  • 最近も更新されているという安心感!
dou
3
WP Limit Login Attempts
WP Limit Login Attempts
ログイン試行回数を制限するだけでなく、画像認証まで追加されるので、より強固なセキュリティ対策が取れます。

管理者も画像認証を毎回する必要があるので手間にはなりますが、よりセキュリティを強化したい場合におすすめのプラグインです。
ポイント
  • ログイン時に画像認証!
  • 設定値が変更不可なので本当にインストール&有効化するだけでOK!

プラグインが更新されていないことのリスク


更新されていないプラグインを使うことに抵抗がある人もいるでしょう。

実は私も抵抗があり、できれば更新されていないプラグインは使いたくありません。

(Limit Login Attemptsが更新さえしていれば・・・)

ではプラグインが更新されていないと、具体的にどのようなリスクがあるのかですが、

  • ・古い関数の使用によるエラー
  • ・作者さんがサポートしてくれない
  • ・セキュリティホールが潜んでいる可能

などが挙げられます。

なのでやはり、極力更新されていないプラグインを使用するべきではありませんね。

しかし・・・

Limit Login Attemptsは今のところ例外です


200万以上のアクティブインストールがあるということは、それだけたくさんの人が使っているということです。

仮に問題があった場合、使う人が多いのと少ないのではどちらが問題を発見しやすいでしょうか。

当然多い方が発見しやすいですよね。

上記リスクについてですが、

  • 古い関数の使用によるエラー → エラーなし
  • 作者さんがサポートしてくれない → 作者ではない他の人が質問に答えてくれる
  • セキュリティホールが潜んでいる可能 → 今のところ報告なし

という感じで、Limit Login Attemptsは全てクリアしています。

Limit Login Attemptsのアクティブインストール200万以上に対し、有志により更新されているLimit Login Attempts Reloadedは9万以上です。

ケタが違いますよね。

Limit Login Attempts Reloadedは、更新されているとはいえLimit Login Attemptsを元に作られています。

問題があった場合は、どちらにも出るでしょうし、機能が追加された分、Limit Login Attempts Reloadedの方が出やすいかも知れません。

そんな時でもアクティブインストールの多さから、話が出るのはLimit Login Attemptsの方からでしょう。

要するに、たくさんの人が使っているのには理由があるということです。

Limit Login AttemptsとLimit Login Attempts Reloadedを引き合いに出して解説しましたが、他のプラグインも含めてアクティブインストールが多いのは正義だと思っています。

補足


それでも鵜呑みにはしないでください。

200万以上のアクティブインストールという数字は信頼できるものなのか。

誰かに操作されたものではないのか。

ダメージを受けるときは少数で受けるか、多数で受けるかの違いではないか。

などなど情報に惑わされずに、自分でしっかり優先するべきものは何か考えて、選択する力を磨くことも大事です。

ログイン試行回数を制限するプラグインは必須?


不正アクセス対策として、ログイン試行回数を制限する以外にも方法はあります。

  • ログインURLを変える
  • 2段階認証にする
  • 管理画面へアクセス制限をかける

などなど。

なので、不正サクセス対策は必須ですが、ログイン試行回数を制限するプラグインで考えると必須まではいかないかも知れません。

もちろん、全て対策するのが一番良いですが、お手軽で効果的だという意味でログイン試行回数を制限するプラグインを紹介しました。

インストール&有効化するだけでいいのですから。

自分がログイン制限にかかってしまったら?


パスワードを忘れてしまって何個か試しているうちに、自分がログイン制限に引っかかってしまったなんていうことも起こるかも知れません。

そういう時は、制限されている間の時間で、とりあえず一度冷静になりパスワードを思い出そうとがんばってください。

思い出せないなら、制限が解除された後にログイン画面の下にある「パスワードをお忘れですか ? 」のリンクからパスワードの再発行ができます。

ログイン制限にかかってしまっても今すぐログインしたい!


サーバー上のプラグインフォルダをリネームするか削除すればOKです。

ファイルマネージャーか、FTPソフトを使うことになります。

あとがき


ちなみに私が使っているのはLimit Login Attemptsです。

簡単でお手軽ですからね。

多数派のプラグインを使っている安心感もあります。

昔から使っていて、今現在でも問題が出たことはありませんし、使うのをやめる理由がありません。

それと、記事内でコメントを書いている箇所がありますが、公式サイトで英語で書かれているものを訳して、私なりの言葉にしたものです。

大体のニュアンスはあっていると思いますが、正確には公式サイトで実際にディスカッションされているものを見てみてください。

関連記事