ログイン・失敗には厳しく対処する

不正ログインを数百回仕掛けられたをお話ししました。

幸い ログインIDを “admin” 以外に設定していましたので 被害にあうことはありませんでした。

しかし、このままにしておくと、やがて侵入者のカモになってしまう恐れがあります。

そこで、ログイン・エラー発生時にロックしてしまうように設定しました。

  • ID が違ったのか、パスワード が違ったのかを非表示
  • 一定時間内の連続エラーには一定時間ログインをロック

これで、侵入者からサイトを守ることが出来るでしょう。

それでは 作業の詳細です。

プラグイン ”Login LockDown” を導入します。

管理画面⇒プラグイン⇒新規追加⇒検索窓に”Login LockDown”⇒インストール・有効にする

次に設定します
管理画面⇒設定⇒Login Lockdown で以下の画面が表示されます

  • Max Login Retries = 許容ログイン回数
  • Retry Time Period Restriction = 5分間に3回まで許すなら、5分に当たる
  • Lockout Length = 再度ログインを許すまでの時間
  • Lockout Invalid Usernames = 拒否したいユーザー名
  • Mask Login Errors = エラーメッセージを表示させない

以上で設定は終了ですが、
もうひとつ 安全のための 作業しておきましょう。
それは、ログイン画面に表示される 「プラグイン名」を削除することです。

管理画面⇒プラグイン⇒Login Lockdown⇒編集
と、login-lockdown/loginlockdown.php の編集画面にしてから

ctrl を押して 検索窓を表示させて
credit_link() を検索します。

[sourcecode language=”css”]function ll_credit_link(){
echo "<p>Login form protected by <a href=’http://www.bad-neighborhood.com/login-lockdown.html’>Login LockDown</a>.<br /><br /><br /></p>";
}[/sourcecode]

echo 以下を 削除してください。
[sourcecode language=”css”]function ll_credit_link(){
echo "";
}
[/sourcecode]

以上で 設定が終了です。
以下のようにログイン画面が変化したら OK です

設定どうりに 作動するか ご確認ください。

*Note:この情報はLotus Web Studios様の情報を参考にしています。