「WordPressに不正ログインを試みる攻撃が来ているけど、どう対策すればいいかわからない」
「シンプルにログイン失敗回数を制限するだけのプラグインが欲しい」と感じていませんか?
Limit Login Attempts Reloadedは、WordPressへのログイン失敗回数を制限してブルートフォース攻撃(総当たり攻撃)をブロックする、
シンプルで軽量なプラグインです。設定項目が少なく、インストールしてすぐに使い始められる点が特徴で、
世界中で250万以上のサイトに導入されています。
この記事では、Limit Login Attempts Reloadedのインストールから推奨設定まで、
スクリーンショットをまじえてわかりやすく解説します。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、Limit Login Attempts Reloadedの設定を初心者でも迷わないよう丁寍に解説します。
- Limit Login Attempts Reloadedとは何か・何ができるか
- インストールと初期設定の手順
- 推奨設定値とその理由
- ログの確認方法とブロックの解除方法
- 他のセキュリティプラグインとの使い分け
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
Limit Login Attempts Reloadedとは?特徴と主な機能
Limit Login Attempts Reloadedは、WordPressのログインページへのブルートフォース攻撃(総当たり攻撃)を防ぐシンプルなプラグインです。
ログイン失敗が一定回数を超えたIPアドレスを自動的にロックアウト(ブロック)します。
SiteGuardやWordfenceなどと比べると機能はシンプルですが、
「ログイン失敗回数の制限だけでいい」という場合には軽量で使いやすいプラグインです。
- ログイン失敗回数の制限:指定回数を超えたIPアドレスをロックアウト
- ロックアウト時間の設定:ブロック時間を自由に設定可能
- 段階的なロックアウト:繰り返し試みるIPに対してより長いブロック時間を設定
- ホワイトリスト・ブラックリスト:特定のIPを常に許可または常にブロック
- ログ記録:ロックアウトの履歴を記録・確認
- メール通知:ロックアウト発生時に管理者にメール通知
- XMLRPC保護:XMLRPC経由のログイン試行も制限
- Woocommerce対応:WooCommerceのログインフォームにも対応
Limit Login Attempts Reloadedはログイン保護に特化したプラグインです。マルウェアのスキャン・ファイアウォール・ログインURL変更・二段階認証などの機能はありません。これらが必要な場合は他のセキュリティプラグインと組み合わせてください。
Limit Login Attempts Reloadedのインストール手順
Limit Login Attempts ReloadedはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「Limit Login Attempts Reloaded」と入力する
- 「Limit Login Attempts Reloaded」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
Limit Login Attempts Reloadedの設定画面の見方
有効化が完了すると、管理画面の「設定」メニューの中に「Limit Login Attempts」という項目が追加されます。
- 方法①:管理画面左メニュー「設定」→「Limit Login Attempts」
- 方法②:管理画面の通知バナーに表示される「設定」リンクをクリック
設定画面には「ダッシュボード(Dashboard)」「設定(Settings)」「ログ(Logs)」の3つのタブがあります。
Limit Login Attempts Reloadedの推奨設定
「設定(Settings)」タブをクリックして設定を変更します。初期設定でも基本的な保護は機能していますが、より強固な設定にするために以下の推奨値を参考にしてください。
App(アプリ)設定
- Allowed Retries(許可するリトライ回数):3~5回(デフォルト:4回)
- Lockout duration(ロックアウト時間):20~60分(デフォルト:20分)
- Max Lockouts(最大ロックアウト回数):2~3回(デフォルト:4回)⩐この回数を超えると長期ブロックになる
- Long Lockout duration(長期ロックアウト時間):24時間(デフォルト:24時間)
- Hours Until Retries Reset(リトライカウントのリセット時間):12~24時間(デフォルト:12時間)
通知設定
ロックアウトが発生した際にメールで通知を受け取ることができます。攻撃を受けていることをいち早く知るために有効にしておくことをおすすめします。
- Email to admin(管理者へのメール通知):有効にする
- Lockouts before notification(通知までのロックアウト回数):1~3回(1回に設定すると最初のロックアウトで通知が届く)
IPアクセス制御(ホワイトリスト・ブラックリスト)
「Allowlist(ホワイトリスト)」と「Blocklist(ブラックリスト)」でIPアドレスを個別に管理できます。
- Allowlist(ホワイトリスト):自分の固定IPアドレスを登録することで、ロックアウトされるリスクを防げる
- Blocklist(ブラックリスト):攻撃元として確認できた特定のIPアドレスを永続的にブロックする
ログイン失敗時のメッセージの設定
ログイン失敗時に「残り○回試行できます」というメッセージを表示するかどうかを設定できます。デフォルトでは残り回数が表示されますが、これは攻撃者にヒントを与えることにもなります。
「Show login failure message(ログイン失敗メッセージを表示する)」の設定で、メッセージを非表示にしたり、残り回数を表示しないシンプルなメッセージに変更することをおすすめします。
設定の保存
設定が完了したら、ページ下部の「Save Settings(設定を保存)」ボタンをクリックして保存します。
ロックアウトログの確認方法
「Logs(ログ)」タブでは、過去にロックアウトされたIPアドレスの一覧を確認できます。攻撃を受けているかどうかの確認や、誤ってロックアウトされた場合の対処に使います。
- IP:ロックアウトされたIPアドレス
- Tried to log in as:ログイン試行に使われたユーザー名
- Last attempt:最後に試行した日時
- Lockouts:ロックアウトされた回数
ロックアウトを手動で解除する方法
自分自身や正規のユーザーが誤ってロックアウトされてしまった場合、管理者が手動でロックアウトを解除できます。
- 管理画面「設定」→「Limit Login Attempts」→「Logs」タブを開く
- 解除したいIPアドレスの行を確認する
- 「Delete(削除)」または「Allowlist(ホワイトリストに追加)」ボタンをクリックする
ロックアウト時間が過ぎれば自動的にロックが解除されます。急いで解除したい場合は、FTPでwp-content/plugins/フォルダにある「limit-login-attempts-reloaded」フォルダをリネームしてプラグインを無効化してください。その後にログインして、フォルダ名を元に戻せばプラグインが再有効化されます。
ダッシュボードで攻撃状況を確認する
「Dashboard」タブでは、現在のロックアウト状況や統計情報を確認できます。
- Total lockouts(合計ロックアウト数):これまでにブロックしたロックアウトの総数
- Active lockouts(現在のロックアウト):現在ブロック中のIPアドレス数
- 設定の概要:現在の設定値の確認
設定完了チェックリスト
Limit Login Attempts Reloadedの設定が完了したら、以下のチェックリストで確認しましょう。
- Allowed Retriesを3~5回に設定した
- Lockout durationど20~60分に設定した
- Long Lockout durationど24時間に設定した
- 管理者へのメール通知を有効にした
- 固定IPアドレスがあれば自分のIPをホワイトリストに登録した
- 設定を保存した
Limit Login Attempts Reloadedと他プラグインの使い分け
Limit Login Attempts Reloadedはログイン保護に特化しているため、他のセキュリティ機能と組み合わせると効果的です。
- ログイン失敗回数制限:Limit Login Attempts Reloaded(メイン)
- ログインURL変更・CAPTCHA:SiteGuardまたはCloudSecure WP Securityと組み合わせる
- マルウェアスキャン:Wordfence Security(無料版)と組み合わせる
- 定期バックアップ:UpdraftPlusで万が一の復旧に備える
- SiteGuardはログインURL変更・CAPTCHA・画像認証など機能が豊富で日本語対応
- Limit Login Attempts Reloadedはシンプルな失敗回数制限に特化。SiteGuardでは物足りない「段階的なロックアウト」「ブラックリスト管理」が必要な場合に有効
- 両者は機能が一部重複するため、どちらか一方を選ぶか、機能を分担して使うか検討する
Limit Login Attempts Reloadedの設定まとめ
Limit Login Attempts Reloadedは、ブルートフォース攻撃対策をシンプルに実現できる軽量なプラグインです。設定項目が少なく、インストールしてすぐに不正ログイン対策が有効になります。
- 管理画面からプラグインをインストール・有効化する
- 「設定」→「Limit Login Attempts」→「Settings」タブを開く
- Allowed Retries(許可するリトライ回数)を3~5回に設定する
- Lockout duration(ロックアウト時間)ど20~60分に設定する
- Long Lockout duration(長期ロックアウト時間)ど24時間に設定する
- メール通知を有効にする
- 自分の固定IPがあればホワイトリストに登録する
- 「Save Settings」で保存する
ログイン保護だけでなくサイト全体のセキュリティを強化したい場合は、SiteGuardやWordfenceなど他のプラグインとの組み合わせをおすすめします。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
