こんにちは! MIYA(@miya38_freer)です。
先日、WordPressサイトに対して不正にログインしようとする動きがあった、との報告がメールで来ていました。それに対してどんな対策をしたかを記録します。
目次
突然、"Failed login attempts"とのメールが
メールソフトを立ち上げると、"Failed login attempts"とのメールが来ていました。「ログインの試みに失敗しました」という意味です。
内容を読むと「あなたのサイトの管理画面に、誰かがxx回ログインしようとして失敗したのでxx分間そのIDをブロックしました」とのこと。
なにそれ、怖!と思っていたら、また数時間後にも同様の内容が。(やはり「xx回ログイン失敗があったので、xx時間ブロックしました」との報告でした)
文中には「Brute force attack(ブルートフォースアタック)では?」との文言も。これはサイトに対する無差別攻撃のこと。特定したログインIDに対し、適当なパスワードを組み合わせて総当たりで攻撃。万が一ログイン成功となってしまった場合は、そのサイトのサーバをぐちゃぐちゃにされる可能性があります。
このプラグインを入れていて良かった
Limit Login Attempts Reloaded
今回、ログインを阻止しブロックしたのはこの「Limit Login Attempts Reloaded 」のプラグインでした。ログインに失敗できる回数とブロックの時間は設定画面で設定できます。拒否するIPも登録できます。
Edit Author Slug
WordPressのユーザー名が第三者に判別できないような文字列に変換してくれるプラグインです。
パスワードを複雑化しておくことも大切ですが、それ以前にユーザー名(ログインID)を相手に判別させないことも大切。インストールすると、ユーザー>プロフィール画面から、表示するAuther名を設定できます。
追加したプラグイン
SiteGuard WP Plugin
WordPressサイトを立ち上げた際、「プラグインを入れ過ぎるとサイトが重たくなる」と聞いていたので、このプラグインはお勧めにはあったものの外していたんですね。
「これってログインする時に『画面に出ているひらがなを入力してください』ってだけだよね?IDとパスワードがバレなきゃ大丈夫だし、第一こんなサイトにログインする人なんていないっしょ!」
・・・って思ってたら、この無差別攻撃!!
そんなわけで、慌ててインストールしました。それから誤解していたのですが、このプラグインにもブロック機能がありました。前述の2つのプラグインと併せ、有効に使って行きたいと思います。
まとめ|WordPress自体にもメンテナンスが必要
WordPressをインストールしたての頃は、どんな設定をしたらいいのか、どのプラグインを入れたらいいのかを詳細に確認しますが、一度ブログを始めてしまうと更新に一生懸命になってしまい、根本が疎かになりがちですね。
最初に入れたプラグインが最適かどうか、改めて定期的にチェックする必要があるように思いました。自分のサイトは自分で守ろう!