そんなタイトルですが、あくまで予防です。

最近wordpressの管理画面への不正アクセスが相次いでるとのことで、
僕も気になり、プラグインを入れてみることにしました。
そのプラグインを紹介したいと思います。

 

crazybone

 

まず、管理画面への不正アクセスを調べるプラグインから入れます。
こちらのcrazyboneというプラグインは、ログインの履歴が取れるというもので、
いつどこから、IPアドレス,エラー時のユーザー名/パスワード等が取れます。
これはアクセスログが取れるということで、クライアントワークにもいいかと思います。

 

Crazy Bone

 

実際の画面のキャプチャはこちら

 

 

不正アクセスされてました。

 

めちゃめちゃ来てますね・・・韓国から・・・
なんのためにこんなことをするのかわかりませんが怖いですね・・・

 

後で紹介するブログにも書かれているのですが、
こちらを出来る限り防ぐ方法は、

 

・ユーザー名をadminやドメイン名にしない
・パスワードは英数字記号を使い、14文字以上
・wordpressを常に最新ver.にする

 

です。（あくまでされにくくされるもので、されなくなるわけではないです・・・・）

これは設定の段階での予防ですので、
次に予防のためのプラグインを紹介します。

 

Simple Login Lockdown

こちらのプラグインは、
同一IPアドレスからのアクセスで連続してログイン失敗すると、
一定期間経過するまでは、そのIPアドレスからのログイン操作をできなくするというものです。

こちらは連続でアタックさせないためのものなので、
気休め程度かもしれませんが、やっておいて損はないと思います。

 

WP Admin Basic Auth

こちらはログイン、管理画面にbasic認証をかけるというもので、
basic認証のID/パスワードは、現段階ではwordpressで設定したユーザー名/パスワードがそのまま適応されるようです。
同じだと突破されるのでは？と思ってしまいますが、
botではBasic認証を突破しようするものはないようです。

 

WordPressのログイン・管理画面にBasic認証をかけるプラグイン「WP Admin Basic Auth」を作りました | Stocker.jp / diary

 

こちらそれぞれ単体だけでなく、複数入れると、
セキュリティもより強固なものになっていくと思います。

 

ちなみに、管理画面以外の部分にBasic認証をかけたい場合は、
以下のプラグインがあります。

WordPress サイトに Basic 認証をかけるプラグイン「WP Basic Auth」 | dogmap.jp

 

あとは、「Members Only」というwordpressにログインしていないとサイトを見れなくするプラグインもあります。

 

それにしても不正アクセスは怖いですね。
セキュリティに関しては、慎重になって損なことはないので、
しっかりと対応したいです。