ログインセキュリティ
ログインセキュリティは SentinelSecurity の中核機能であり、WordPress の管理画面への不正アクセスを防ぐ多層防御システムです。
なぜログインセキュリティが重要なのか
WordPress は世界のWebサイトの約43%で使用されており、その分ログインページ(/wp-login.php)は攻撃者の最大の標的になっています。代表的な脅威は以下のとおりです。
- ブルートフォース攻撃: ボットがパスワードの組み合わせを何千回も試行
- 辞書攻撃: よく使われるパスワードリストを使った総当り
- クレデンシャルスタッフィング: 他サービスで流出したID/パスワードの流用
- アカウント列挙: ユーザー名を特定してから攻撃を効率化
多層防御の全体像
各防御レイヤーは独立して動作し、複数を組み合わせることでセキュリティ強度が増します。
| レイヤー | 機能 | 役割 |
|---|---|---|
| Layer 1 | IP制限 | 許可IPのみログイン画面を表示 |
| Layer 2 | カスタムログインURL | ログインページのURLを変更して隠蔽 |
| Layer 3 | ベーシック認証 | URLを知っていてもHTTP認証でブロック |
| Layer 4 | reCAPTCHA | ボットと人間を自動判別 |
| Layer 5 | メール認証(OTP) | パスワード+ワンタイムコードで二段階認証 |
設定方法
- WordPress 管理画面 → SentinelSecurity → ログインセキュリティ を開きます
- 各機能のトグルスイッチで有効/無効を切り替えます
- パラメータを設定します
- 保存 をクリックします
- IP制限 — 許可IPの設定とCIDR記法の使い方
- カスタムログインURL — ログインページのURLを変更して隠す方法
- ベーシック認証 — HTTP認証によるログインページ保護
- reCAPTCHA連携 — Google reCAPTCHA v2/v3 の設定
- メール認証(OTP) — ワンタイムパスワードの設定と運用
プラグイン無効化時の安全対策
SentinelSecurity は、プラグインを無効化した場合に自動的にセーフモードに移行します。
- ログインURL変更が無効化され、デフォルトの
/wp-login.phpが使用可能になります - IP制限が解除されます
- 設定値はバックアップとして保存され、再有効化時に自動復元されます
ログイン履歴
すべてのログイン試行は詳細に記録されます。
- ユーザー名、IPアドレス(IPv6対応)、User-Agent
- 成功/失敗のステータス
- タイムスタンプ
- 短時間での複数回ログイン失敗
- 異なるIPアドレスからの同時ログイン
- 存在しないユーザー名でのログイン試行
メール通知
ログインに関する以下のイベントでメール通知を受け取れます。
| 通知タイプ | 内容 | デフォルト |
|---|---|---|
| ログインアラート | 管理者ログイン成功時に通知 | 有効 |
| ブルートフォースアラート | ロックアウト発生時に通知 | 有効 |