｢Site Lockout Notification」メールとは？【WordPress】

WordPressで運用している自分のサイトから「Site Lockout Notification」という件名のメールが届きませんか？

差出人

件名

内容

※「Username」「IP Address」「IP Range」はその人によって異なります。

私も初めて上のようなメールを受信して “Site Lockout Notification” 、直訳すると “サイトロックアウト通知” という何とも穏やかではないメールに不安を感じました。

件名には自分のサイトのURLが記載されているので、自分のサイトで何かが起きていることは間違いないはずです。

この「Site Lockout Notification」の正体について調査しましたので、この記事で解説していきたいと思います。

「Site Lockout Notification」メールの正体

WordPressのプラグインで「All In One WP Security」を使っていませんか？

「All In One WP Security」はWordPressのセキュリティを強化できる豊富な機能を持ったプラグインです。

「Site Lockout Notification」メールは、「All In One WP Security」のログインロックダウン機能によって送信されたものです。

ログインロックダウン機能とは不正なログインを防ぐことができる機能で、短時間のあいだに複数回、あなたのWordPress（管理パネル）に不正にログインを試みようとする者に対してログインできないようにすることができます。

「All In One WP Security」の初期設定の状態であれば、同一のアクセス元で５分間のあいだに３回ログインの試みに失敗した場合、60分間ロックアウト（ログインできない）するようになっています。

（プラグインのバージョンによって初期設定の値は変わる場合があります）

同一のアクセス元かどうかはIPアドレスという情報でチェックされています。

インターネット上の通信ではIPアドレスを用いて色々なサイトにアクセスしたりデータのやり取りを行ったりしています。

このIPアドレスはアクセス先だけではなく、アクセス元においてもアドレスが割り振られているため、不正にログインを試みるアクセス元のIPアドレスをブロックすることでこの機能を実現しています。

「Site Lockout Notification」メールの内容

ここで改めて受信したメールを確認してみましょう。

A lockdown event has occurred due to too many failed login attempts or invalid username:【①】
Username: 〇〇〇〇〇【②】
IP Address: xxx.xxx.xxx.xxx【③】

IP Range: xxx.xxx.xxx.*

Log into your site’s WordPress administration panel to see the duration of the lockout or to unlock the user.【④】

直訳すると次のような内容になります。

メールの内容としては次の通りです。

設定されているログイン失敗回数に達したためログインできないようにした旨の通知です。【①】

「Username」にはログインを試みた際のユーザー名が記載されています。【②】

「IP Address」にはアクセス元のIPアドレスが記載されています。【③】

WordPressの管理パネルにログインしてロックアウト状況の確認を促すメッセージです。【④】

つまり、「IP Address」に記載されているIPアドレスを持つアクセス元から「Username」に記載されているユーザー名を使ってログインを試みたが、５分間のあいだに３回失敗したため60分間ログインできない状態にしましたよ、ということです。

※時間（５分間/60分間）と回数（３回）は初期設定の場合ですが、以降の説明ではこの設定値を前提に説明していきます。

不正ログイン履歴の確認

「Site Lockout Notification」メールの内容から、何者かが不正にログインしようとしたが、「All In One WP Security」のログインロックダウン機能によってログインできない状態になった、ということがわかりました。

WordPressの管理パネルから、この不正ログインを試みた際の履歴を確認することができます。

WordPress上で「All In One WP Security」の設定画面が日本語化されている場合は『｢サイトロックアウト通知」メールとは？【WordPress】』をご覧ください。

｢サイトロックアウト通知」メールとは？【WordPress】

bigubii.site

『｢サイトロックアウト通知」メールとは？【WordPress】』にはこれから説明する手順を日本語バージョンで記載しています。

不正ログイン履歴の確認方法

１．WordPressの管理パネルにログインします。

２．管理パネルのサイドバーから「WP Security」をクリックして、「User Login」をクリックします。

３．「User Login」画面が開くので、タブになっている「Failed Login Records」をクリックします。

４．するとログインに失敗したIPアドレスの履歴を確認することができます。

ここで「Login IP Range」列に「Site Lockout Notification」メールに記載されていた「IP Address」がありませんか？

そして「Date」列を見るとアクセスされた日時を確認することができます。

おそらく５分間のあいだに同一IPアドレスから３回のアクセスが確認できるはずです。

不正ログインの実態

“自分が自分のサイトにログインしようとして失敗した” ということであれば問題ありませんが、そうでなければ何者かがあなたのサイトに不正にログインしようとした疑いがあります。

サイトの運用期間が長くなってきたり、サイトへのアクセス数が増えてくれば、悪意を持った第三者が無差別にサイトを乗っ取ろうとしてくることもあります。

その場合は短時間のあいだにパスワードをいくつも変えながらログインを試みようとします。

このような不正ログインに対して今回の「All In One WP Security」のような機能が有効なわけです。

相手としては本来であれば、何十回、何百回とログインを試したいわけですが、３回の失敗でアクセス元のIPアドレスがブロックされれば、諦めて次のサイトに標的を変えざるを得なくなります。

インターネット上に公開する限りはたくさんの人から自分のサイトを見てもらえることになりますが、同時に全世界から標的として狙われるリスクがあります。

そのために適切なセキュリティ対策が必要になってくるわけです。

不正ログインによるサイトの乗っ取りなどを未然に防ぐには、「２段階認証」も導入しておきたい有効な手段です。

「２段階認証ってなに？」という人はこちらの記事をどうぞ。

「２段階認証」とは？「２要素認証」との違い

bigubii.site

「WordPressに２段階認証を導入したい！」という人はこちらの記事をどうぞ。

簡単！WordPressに２段階認証を導入する方法

bigubii.site

ロックアウト設定の変更方法

「All In One WP Security」の初期設定の状態では、同一のアクセス元で５分間のあいだに３回ログインの試みに失敗した場合、60分間ロックアウトするようになっています。

この時間と回数を設定によって変更することができます。

１．「不正ログイン履歴の確認方法」で「User Login」画面を開いて、タブになっている「Login Lockdown」をクリックします。

２．すると各設定項目が表示されます。

ちょっとログインに失敗しただけでロックアウトするように設定するとセキュリティは高まりますが、自分がログインに失敗した場合でもロックアウトされてしまいますので、セキュリティと利便性のバランスには注意して設定してください。

まとめ

「Site Lockout Notification」メールの正体について解説してきました。

不正なログインを「All In One WP Security」の機能が防いでくれたということですので、今後もセキュリティのレベルを維持しながらサイトを運営していくようにしましょう。

【セキュリティ対策の基本】この５つだけは対応必須！

bigubii.site