ログイン制限でブルートフォース攻撃を阻止 Limit Login Attempts Reloaded
WordPress サイトのセキュリティを考える上で、最も重要なポイントのひとつが「ログインページの保護」です。特にブルートフォース攻撃は、強力なパスワードだけでは防ぎきれない深刻な脅威です。
Limit Login Attempts Reloaded は、ブルートフォース攻撃をブロックできる定番プラグインです。以下ではこのプラグインの機能やインストール方法、設定方法を解説します。
更新日:2025年07月10日
作成日:2025年月日
WordPress ログインセキュリティの重要性
WordPress サイトを安全に保つためにできることはたくさんありますが、中でも特に注意を払うべきなのが「ログインセキュリティ」です。
小規模なブログでも、トラフィックの多いECサイトでも、ログインページは攻撃者にとって最も狙いやすい侵入口の一つです。そして、もしログインページの保護を怠れば、他のセキュリティ対策をどれだけ強化しても、全体としての安全性は大きく損なわれてしまう可能性があります。
ログインセキュリティとは、WordPress のログイン画面や管理画面(ダッシュボード)へのアクセスを保護することを指します。「強力なパスワードを設定していれば十分」と考えがちですが、それだけでは不十分です。ハッカーはボットを用いて、1分間に何百回、場合によっては何千回ものログイン試行を行い、総当たりでパスワードを探り当てようとします。これがいわゆる「ブルートフォース攻撃」です。対策を講じなければ、攻撃者は有効なパスワードを見つけるまで攻撃を延々と続けることができます。
Limit Login Attempts Reloaded とは?
WordPress のログインページを守るために役立つプラグインのひとつが Limit Login Attempts Reloaded(LLAR) です。このプラグインは、ブルートフォース攻撃を強力にブロックする機能を備えています。
無料版で利用できる主な機能は次のとおりです。
ログイン試行回数の制限でブルートフォース攻撃を阻止
単一のIPアドレスからのログイン試行回数を制限できます。設定した試行回数を超えると、そのIPアドレスは自動的にロックアウトされるので、ブルートフォースボットによる無制限のログイン試行を防ぎます。
ロックアウトのリアルタイム通知
ユーザーがロックアウトされると、設定した管理者メール宛にリアルタイムで通知が届きます。これにより、誰かが繰り返し不正ログインを試みている状況を即座に把握でき、対策を講じる判断が可能です。
成功・失敗したログインを追跡
失敗したログイン試行だけでなく、成功したログインもログとして記録されます。誰が、いつ、どのIPからログインしたかを確認できるため、身に覚えのないユーザーのアクセスを発見した場合は、すぐに調査・対応が可能です。※ 成功したログインのログは有料版または限定アップグレード版(無料)のみで利用可能。
ロックアウトルールのカスタマイズ
サイトのセキュリティポリシーに合わせて以下を自由にカスタマイズできます。
- ロックアウトまでの試行回数
- ロックアウトの持続時間
- ロックアウト時のユーザー通知の有無
また、以下のような特徴があります。
動作がシンプルで最小限の機能に特化
LLAR は「ログイン試行回数の制御」と「ロックアウト管理」という限られた機能に特化しているため、管理画面を大幅に改変したり、複雑なオプションを追加したりしません。WordPressコアのログイン認証フローに対して必要最低限のフックだけを使って実装されているため、干渉が少なく、他プラグインとの衝突リスクが低いのが特徴です。
大規模なセキュリティ統合型プラグインに比べて軽量
例えば Wordfence や iThemes Security のような総合セキュリティプラグインは、多数の機能を統合しているぶん競合の原因になりやすいですが、LLAR はあくまで単機能なのでトラブルになりにくいです。
ただし「競合が少ない = 100%起きない」という意味ではありません。そのため、カスタムログイン環境では検証が必要です。
インストールや設定が簡単
WordPress 管理画面から「プラグイン → プラグインを追加」で「Limit Login Attempts Reloaded」と検索し、インストールして有効化するだけで基本的な機能はすぐに利用可能です。細かいロックアウトルールも管理画面上でわかりやすく設定できるため、初心者でも比較的簡単に導入できます。
ドキュメント
英文の Limit Login Attempts Reloaded のドキュメントは以下で確認できます。
インストール方法
Limit Login Attempts Reloaded の導入は簡単です。以下の手順でインストールし、有効化できます。
1. プラグインの追加
管理画面の左メニューから「プラグイン」をクリックし、「プラグインを追加」を選びます。
2. プラグインを検索してインストール
画面右上の「プラグインの検索」に「Limit Login Attempts Reloaded」と入力します。該当プラグインが表示されたら、「今すぐインストール」をクリックします。
3. プラグインを有効化
インストールが完了すると、ボタン表示が「有効化」に変わるので、「有効化」をクリックします。これで基本機能がすぐに使えるようになります。
初回の初期設定ウィザード
有効化後、WordPress管理画面左側の「Limit Login Attempts」をクリックすると、初回のみ初期設定ウィザードが自動的に表示されます。画面は縦長なので、内容を確認しながらスクロールして進めます。
- ウィザードを終了したい場合は、画面右上のバツ印(✕)をクリックするとスキップできます。終了しても、最低限の設定はすでに有効になっており、後からダッシュボードで調整可能です。
- 有料版が不要な場合は「No, I don't want advanced protection」または「Skip」をクリックします。必要であれば後から有料機能を有効化できます。
ロックアウト通知メールアドレスの設定
ロックアウトが発生した際の連絡先メールアドレスを設定します。初期値では WordPress サイトの管理者メールアドレスが入力されています。必要に応じて変更し、「続行」をクリックします。
プレミアム機能の限定アップグレード(Limited Upgrade)
無料版のみを利用する場合は「Skip」をクリックします。限定アップグレード(無料の Micro Cloud の有効化)は後から設定することも可能です。
設定完了
すべての初期設定が完了すると「Go To Dashboard」をクリックして、Limit Login Attempts Reloaded のダッシュボード画面に移動します。ここからさらに詳細設定やロックアウト履歴の確認ができます。
設定画面の使い方
プラグインを有効化すると、WordPress 管理画面の左側メニューに「Limit Login Attempts」が追加され、マウスオーバーでサブメニューが表示されます。
ダッシュボード
左メニューの「Limit Login Attempts」またはサブメニューの「ダッシュボード」をクリックすると、ダッシュボードタブが選択された状態で設定ページが開きます。ダッシュボードでは、
- ログイン失敗状況の統計
- 各設定画面へのリンク
などが表示されています。
各タブは左側のサブメニューに対応しており、タブをクリックするか、「ツール」や「全般設定」などのリンクからも該当ページ(タブ)へ移動できます。
さらに、プレミアム機能の限定アップグレード(無料の Micro Cloud の有効化)も、Enable Micro Cloud (FREE) セクションの「Get Started」をクリックして進められます。
また、プラグインの自動更新を有効化していない場合は、画面上部にメッセージが表示されるので「はい、自動更新を有効化します」をクリックしておくと便利です(プラグインページからも可能です)。
アプリ設定
設定画面には「アプリ設定」と「一般設定」があります。
「アプリ設定」では以下を設定できます
- Micro Cloud:限定アップグレードを有効化した場合に設定項目が表示されます。有効化していない場合は「Get Started」ボタンが表示されます。
- 有効なアプリ:無料バージョン(ローカル)または有料バージョン(Cloud App)を切り替え。
- ローカルアプリ:無料バージョン向けの設定項目(下記参照)。
- Limit Login Attempts Reloaded Cloud App:有料バージョン(Cloud App)の設定項目。
ローカルアプリ
無料バージョン(ローカルアプリ)で設定できる主な項目の初期値は以下の通りです。
- 再試行を許可する回数:4回
- ロックアウト時間:20分
- 4回ロックされると24時間ロック
- 24時間で試行回数をリセット
- 「信頼できる IP Origin」については、初期値(REMOTE_ADDR)のままで問題ありません。
適切な設定値がわからない場合は、推奨されているこれらのデフォルト設定をそのまま使用すれば問題ありません。一般的な WordPress サイトのセキュリティとして十分な保護を得られます。
設定変更後は必ず「設定を保存」をクリックしてください。
ログイン失敗時の表示
Limit Login Attempts Reloaded を有効化すると、WordPressのログイン画面でユーザー名やパスワードを間違えた際、残りの試行可能回数が表示されるようになります。これにより、正規のユーザー自身も「何回まで間違えられるか」を明確に把握できます。
ログイン試行回数の上限に達した場合
設定した回数を超えてログインに失敗すると、以下のように「アカウントがロックされた」ことを示すメッセージが表示されます。この間、同じIPからのログイン試行はロックアウト時間が終了するまで不可能になります。
ロック通知メール
一般設定の「ロック通知」を有効にしている場合、設定したロックアウト回数に達すると指定したメールアドレス宛に詳細情報付きのメールが自動で送信されます。
ロック通知メールに記載される情報
ロック通知メールには、以下のような内容が含まれています。
The failed login details include:
- 4 failed login attempts (3 lockout(s)) from IP xxx.xxx.xxx.xxx
- Last user attempted: ユーザー名
- IP was blocked for 20分間
- 失敗した試行回数
- ロックアウト回数
- ロックされた IP アドレス
- 最後に入力されたユーザー名
- ロックアウトの持続時間
これらの情報をもとに、管理画面のログの拒否リスト(ブラックリスト)に該当の IP を追加するなどの対応を行うことができます。
ログイン試行回数制限(ロックアウト)の解除方法
自分でパスワードを何度も間違えてしまい、ロックアウトされてしまった場合は、以下のいずれかの方法で解除できます。これらは簡単に自力で対応できる応急処置です。
1. 異なる IP アドレスからアクセスする
ロックアウトは「IP 単位」で適用されているため、別の IP アドレスからアクセスすれば問題なくログインできます。
例えば、スマートフォンのモバイルデータ通信を使う、あるいは異なる WiFi ネットワークからアクセスするなどがあります。
2. プラグインフォルダの名前を変更して一時的に無効化する
もし別 IP からのアクセスが難しい場合は、FTPソフトまたはホスティングのコントロールパネルにあるファイルマネージャーを使ってサイトに接続します。
手順は以下の通りです:
- wp-content/plugins/ フォルダに移動します。
- limit-login-attempts-reloaded フォルダの名前を一時的に変更します(例:limit-login-attempts-reloaded-disabled)。
これによりWordPressは「プラグインが削除された」と判断し、自動的に無効化します。その状態で管理画面にログインできます。
ログイン後は、FTPやファイルマネージャーでフォルダ名を元に戻します。
ログイン後の再発防止策
ロックアウトが解除できたら、管理画面の「Limit Login Attempts」→「ログ」タブにある セーフリスト(ホワイトリスト) に自分の IP アドレスを追加しておくと、今後同じ IP からのロックアウトを防げます。
WPS Hide Login との併用
Limit Login Attempts Reloaded は、ログイン試行回数を制限することでブルートフォース攻撃をブロックできるプラグインですが、「攻撃対象そのものを隠す」ことで、より強力にサイトを守ることができます。
その補完策として有効なのが、WPS Hide Login のような「ログインURLを変更するプラグイン」との併用です。
ログインURLを変更するメリット
WordPress のデフォルトログインページは /wp-login.php や /wp-admin/ であり、攻撃者は世界中のサイトに共通のこのURLを狙って自動的にブルートフォース攻撃を仕掛けてきます。
WPS Hide Login でログインURLを別の場所に変更すると、攻撃者はログイン画面自体を見つけられなくなり、自動攻撃を困難にできます。
結果として、LLARで試行回数を制限する前に「そもそも攻撃の入り口を見えなくする」ことができます。
- ログインURLを変更して攻撃者からログイン画面を隠す(WPS Hide Login)
- 攻撃を受けても試行回数制限でブロックする(LLAR)
という2段構えで、ブルートフォース攻撃に対する耐性を高められ、総合的なログイン保護になります。
LLARとWPS Hide Loginの併用は問題ない?
2つのプラグインはそれぞれ独立した機能を提供しており、基本的に競合は起こりません。
但し、競合が全く起きないとは言い切れません。以下のリンクは競合が起こったという報告ですが、解決済みにはなっています。
Plugin Conflict with WPS Hide Your Login
WPS Hide Login の使い方
WPS Hide Login の使い方やインストール方法は以下のページを御覧ください。
WordPress ログインURLを変更(WPS Hide Login)
SiteGuard WP Plugin を使うという選択肢
SiteGuard WP Plugin は、WPS Hide Login や Limit Login Attempts Reloaded で別々に実現していた「ログインURLの変更」と「ログイン試行回数制限」の両方をまとめて提供してくれるプラグインです。
「なるべくプラグインを少なくして管理を簡単にしたい」という場合は、SiteGuard WP Plugin を使ってログインURL変更+試行回数制限をまとめて行う方法もおすすめです。
SiteGuard WP Plugin を使用する場合は、WPS Hide Login 及び Limit Login Attempts Reloaded を無効化または削除する必要があります(競合する可能性があります)。
SiteGuard WP Plugin とは?
SiteGuard WP Plugin は、日本のEGセキュアソリューションズ社が開発・提供する無料のWordPress向け総合セキュリティプラグインです。ログイン画面保護を中心に、WordPressを狙った攻撃を幅広くカバーしており、日本語対応で解説や画面もわかりやすくなっています。
主な機能
- ログインページURL変更機能(「/wp-login.php」→自由なURLに変更可能)
- ログイン試行回数制限(指定回数以上の失敗でロックアウト)
- ログインアラート(ログインがあった際に管理者へメール通知)
- 管理ページ、XML-RPCへのアクセス制限
- ログイン画面に日本語CAPTCHA追加
- プラグインやテーマ編集画面の無効化 など
公式ドキュメンt:SiteGuard WP Plugin
SiteGuard WP Plugin を使う場合のメリット
- 1つのプラグインで完結
- ログインURL変更・試行回数制限など、主要なログインセキュリティ機能をまとめて管理できる。
- 日本語対応&日本製
- 管理画面・ヘルプが日本語で統一されており、初心者でも安心して導入・運用できる。
- 追加のログイン保護機能
- CAPTCHA、管理ページやXML-RPCへのアクセス制御など、WPS Hide LoginやLLARにはない機能が標準搭載。
WPS Hide Login + LLAR のメリット
- 柔軟に選んで組み合わせられる
- WPS Hide Login・LLARそれぞれ独立しているので、他のセキュリティプラグインとも組み合わせやすく、自分好みに機能を最小限に絞ったり追加したりできる。
- 細かな挙動設定が可能
- LLARは試行回数やロックアウト条件、通知回数などを詳細にカスタマイズできる。
- 軽量で競合リスクが少ない
- 特定の機能だけを担うシンプルなプラグインなので、ほかのプラグインとぶつかりにくい。
比較項目 | SiteGuard WP Plugin | WPS Hide Login + LLAR |
---|---|---|
機能統合性 | 1つのプラグインでログインURL変更・試行回数制限を含む複数の保護機能を一括管理 | 別々のプラグインで個別管理が必要 |
導入の簡単さ | 有効化後に自動でログインURL変更など基本機能が有効化 | それぞれインストール・設定が必要 |
管理画面 | 日本語で統一され初心者でもわかりやすい | 英語表示が多く、設定箇所が分散する |
細かい挙動設定 | シンプルで細かな設定は少ない | ログイン試行回数・通知条件などを詳細に設定可能(特にLLAR) |
競合リスク | 他のセキュリティ系プラグインと機能が重複しやすい | 単機能で軽量なので他プラグインと競合しにくい |
CAPTCHA追加 | ログイン画面に日本語対応のCAPTCHAを標準搭載 | なし(CAPTCHAを付けるには別途プラグインが必要) |
ホワイトリスト・ブラックリスト管理 | シンプルで詳細な管理機能はなし | LLARがIPやユーザー名単位でリスト管理可能 |
日本語対応 | 日本語完全対応・国内開発でサポートしやすい | 英語中心だが設定自体はシンプル |
プラグイン数 | 1つで完結 | 少なくとも2つ必要 |
推奨ユーザー | 管理を簡単にしたい方や初心者向け | 機能を自由に選びたい中上級者向け |
関連ページ: