ラッコサーバーでWordPressの自動インストールを行った場合、Limit Login Attempts Reloadedプラグインが初期状態で有効化されています。
不正ログイン対策用のプラグインです。一定回数以上ログインに失敗すると、一定時間そのIPアドレスからのログインをブロックします。制限回数や時間、IPのブロックリストなどは設定で変更することができます。
Limit Login Attempts Reloadedは、一定回数以上ログインに失敗し、IPアドレスのブロックがされた場合メール通知を行います。
- 件名:[ブログ名] Failed WordPress login attempt by IP xxx.xxx.xxx
- 本文:Hello,12 failed login attempts (3 lockout(s)) from IP IPアドレス
Last user attempted: ユーザー名
IP was blocked for 20 minutesThis notification was sent automatically via Limit Login Attempts Reloaded Plugin. This is installed on your サイトURL WordPress site. Please login to your WordPress dashboard to view more info.
身に覚えのないブロック通知が頻発する場合は、サイトが不正ログイン(ハッキング)のターゲットとされてしまっている可能性があり、放置しておくといずれログイン情報を特定され、不正にログインされてしまう恐れがあります。
このような事態を防ぐため、追加対策として無料のセキュリティプラグイン「SiteGuard WP Plugin」の導入をおすすめします。
- 管理画面にアクセス制限をかける(特定IPアドレス以外アクセスできないようにする)
- ログイン時の画像認証を付ける
- ログインページのURLを変更する
- ユーザー名の漏洩を防ぐ
SiteGuard WP Pluginのインストール手順
1. SiteGuard WP Pluginをインストール
WordPress管理画面にログインします。
①メニュー「プラグイン」>新規追加をクリック
②右上の検索フォームに「SiteGuard WP Plugin」と入力
③「今すぐインストール」をクリック>ボタンが「有効化」へと変わるので、再びクリックします。
2. 新しいログインページURLをブックマークする
プラグインが有効化されると、下記のようにログインページURLが変更されます。
- 有効化前(WordPress初期設定):https://ドメイン名/wp-login.php
- 有効化後:https://ドメイン名/login_xxxx (xxxxはランダムな5桁の数字)
上記の表示から「新しいログインページURL」をクリックし、ログイン画面をブックマークしておくようにしましょう。ログインページURLは設定で変更することができます。
3. SiteGuard WP Pluginの管理画面を確認する
管理画面メニューのSiteGuardから各種設定状況を確認できます。インストール時点で基本的なセキュリティ機能が有効になっています。必要に応じて各機能のON/OFFを行ってください。
設定の詳細については公式ドキュメントをご覧ください。