ブログを監視している まさと(@masato_s0125) です。
ブログで使用しているWordPressの管理画面から不正アクセスされていると聞くことが多くなってきました。
「自分のブログにも不正アクセスあるのかな?」と思い、アクセスログを記録するプラグインを入れてみました。するとどうでしょう!ばっちりアタックされている事実がそこにありました。
これは不正アクセスされる前に対策を施しておく必要があると思い、不正アクセスを遮断するプラグインも導入してみました。
スポンサードリンク
管理画面へのアクセスログを記録
上の画像を見て頂ければお分かりのとおり、海外からWordPressの管理画面に不正アクセスしようと試みているのがよく分かります。記録を見て驚いたのですが、隣国のあの国からの不正アクセスの回数が凄いのです。かなりしつこいことがうかがい知ることが出来ます。
まさか自分のブログにも不正アクセスがあるなんて驚きですよ。
それにしてもユーザー名を「Admin」やドメイン名でアタック掛けているのがよく分かります。右側には入力されたユーザー名とパスワードが表示されています。単純過ぎる。(^◇^;
数をこなせば入れると思っているのでしょうか?(笑)
そもそもユーザー名は「Admin」使ってないし、パスワードもかなり長くしてあるので簡単には不正アクセス出来ないようになっている。
このアクセスログを記録するプラグインは「Crazy Bone」を使用しています。現在使用しているバージョンは0.5.0です。
ダッシュボードから「プラグイン」→「新規追加」で「Crazy Bone」と入力して、プラグインの検索をすれば出てきます。ちなみに作者はwokamoto氏になります。
・Crazy Bone https://github.com/wokamoto/crazy-bone
プラグインをインストールして、ダッシュボードから「ユーザー」→「ログイン履歴」でアクセスログを見ることが出来ます。その画面から左上のを「不明」にして「フィルターを適用」をクリックすると、不正にアクセスされたログを見ることが出来ます。
管理画面への不正アクセスを遮断
自分のブログに不正アクセスされていることは分かった。それでは何か対策することが出来ないのかとプラグインを探してみると「Limit Login Attempts Settings」という管理画面への不正アクセスを遮断するプラグインがありました。
ダッシュボードから「プラグイン」→「新規追加」で「Limit Login Attempts Settings」と入力して、プラグインの検索をすれば出てきます。現在のバージョンは1.7.1で作者はJohan Eenfeldt氏になります。
・Limit Login Attempts Settings http://devel.kostdoktorn.se/limit-login-attempts
プラグインをインストールして、ダッシュボードから「設定」→「Limit Login Attempts」で設定画面が表示されます。
上の画像は初期値から変更しています。ちなみにこの数値は当ブログのではありません。安全のため色々変更しています(笑)
ちなみに各項目の説明は、
・3回までリトライを認める
・リトライ後、180分間遮断
・3回遮断されると次は48時間遮断
・24時間経過でリセット
となっているようです。実際に試したわけではないので分かりませんけど、このプラグインを入れておくと不正アクセスを繰り返させない防止になるので少しは安心ですね。
本日のまとめ
WordPressのユーザー名を「Admin」で使用している人は変更しましょう。パスワードは出来るだけ長く分かりにくいのに設定しましょう。そしてこれらのプラグインを入れて不正アクセスからブログを守りましょう。
もう1つブログを守る方法がありますが、これはまだ自分のブログでは試していませんので実行したら記事にしたいと思います。
【追記】
そのもう1つを実行しました。1回毎にIPアドレス変えてアタックされる事例も出てきたので「Basic認証」も追加導入しました。今はアタックしても先に進めないようでログには記録されていません。
WordPress管理画面への不正アクセス対策に「Basic認証」も追加して強化してみたぞ | 気儘電脳
