WordPressでログイン試行回数を制限すると、ランダムにパスワードを入力してハッキングをしようとするブルートフォース攻撃を防止するのに役立ちます。 堅実なセキュリティ (旧名iThemes Security)などの無料のセキュリティプラグインを使用すると、過度のログインを試みているユーザーをブロックできます。
このような重いセキュリティプラグインの使用が気にされる場合は、ログイン試行回数だけ制限するプラグインを考慮することができます。 WordPressでLimit Login Attemptsという有名なログイン試行ブロックプラグインがあります。 このプラグインは、 Bluehost などのいくつかのウェブホスティング会社で WordPress自動インストール時にインストールされたりしました。 Limit Login Attemptsはまだ100万個以上のサイトにインストールされて使用されているが、7年以上の更新がされていない。
長い間更新さにならない場合は、最新 WordPress サイトの問題を引き起こす可能性があり、セキュリティも良くないことがあります。 このプラグインの代わりに Limit Login Attempts Reloaded プラグインを考慮することができます。
WordPressでログイン試行回数を制限して、セキュリティを強化するLimit Login Attempts Reloadedプラグイン
通常のログインだけでなく、認証クッキー(auth cookie)を使用したログインを通じたログインの回数を制限するプラグインです。 このプラグインも、現在100万人以上のサイトに設置されて使用されています。
この記事を書いたとき、2019年9月に100万以上のサイトにインストールされ使用されていましたが、2024年8月現在200万以上のサイトで有効になっています。
WordPressは、基本的にログインページを介して、または特別なクッキーを送信したログイン試行を無制限にします。 このため、ブルートフォース攻撃(Brute Force)で、パスワードまたはハッシュ(hash)がハッキングされることがあります。
Limit Login Attempts Reloadedはログイン試行回数が指定された一定回数に達すると、そのインターネットアドレスを遮断してブルートフォース攻撃を困難にしたり、不可能にします。
このプラグインをインストールした後に 設定> Limit Login Attemptsで許可される再試行回数、一定回数ログイン失敗時のログインロックアウト時間など、さまざまな設定を行うことができます。
このプラグインの設定ページを翻訳した韓国語の言語ファイルを次の記事でダウンロードすることができます。
ダウンロードしたファイルをFTP経由で/wp-content/plugins/limit-login-attempts-reloaded/languages/ フォルダにアップロードするだけです。 翻訳を変更したり、新しい文字列を翻訳したい場合は、Loco TranslateプラグインやPoeditなどのプログラムを使用できます。
※一部のセキュリティプラグインには、ユーザーのログイン回数を制限する機能を提供することができます。 そのような場合には、このプラグインをインストールする必要がありません。
※プラグインを使用せずにログイン試行回数を制限する場合は、次Stackoverflowを書き込みみてください:
セキュリティ関連の良い記事ありがとうございます。
この方法を使用すると、ボットによるログイン試行をブロックでき、セキュリティに役立ちます。