WordPressのセキュリティ対策してますか?
このブログはロリポップのサーバーで運用しています。昨年だったか、ロリポップのWordPressサイトが大規模な攻撃を受ける事件がありました。
そのときは幸いにもこのサイトは無事でした。
それで安心していたところ、最近このサイトもブルートフォース攻撃を受けたようで、ロリポップのサーバー側でこのブログのWordPressのダッシュボードへのログイン制限がかかるということがありました。
私には、仕事用のサイトなど他のサーバーで運用しているWordPressサイトもあります。そちらのセキュリティ対策も真剣に考えるきっかけになりました。
そのためにやったセキュリティ対策を紹介したいと思います。
まずはCrazyBoneで不正なアクセスを監視
まずは、サイトに不正アクセスまたはその試みがあるのかを監視するプラグインを入れました。
そのプラグインは「Crazy Bone」です。
CrazyBoneをインストール
インストールの仕方は簡単です。
ダッシュボード左のメニューから「プラグイン」「新規追加」を選びます。
そうすると上の右の方に「プラグインの検索」をする窓があるので、そこに「Crazy Bone」と打ち込んで検索をすると、
下のような「Crazy Bone」が現れます。
ここで「いますぐインストール」を押すと、インストールが始まります。途中「本当にインストールするかどうか」の確認があるので、そこはOKで進めます。
Crazy Boneで不正アクセスをチェック
Crazy Boneをインストールしたら、しばらくおいてからログインの情報を見てください。
どこで情報を見るのか最初は分かりにくいです。
ダッシュボード右上の「こんにちは、○○さん!」とあるところにカーソルを合わせると、下の画像のようにこれまではなかった「最終ログイン」という項目が増えています。ここをクリックしてください。
そうすると、ログイン履歴が見られます。
フィルターをかけるといろいろ見られます。
まずは、ログインした履歴から自分のログインと関係なさそうなものがないか見てください。海外からのアクセスとかユーザーエージェントが違うとか。
それで何もなかったら、次はログインエラーの履歴です。
下は「全てのアカウント」で「ログインエラー」したもののリストです。
これを見ると、パキスタン、イラン、中国、タイ、ウクライナからログインに失敗した履歴が多数あります。
エラーの理由は「パスワード間違い」。ユーザー「admin」でログインを試みて、「ユーザー名間違い」で失敗しているものもあります。
どうです?
怖いでしょ?
「admin」というユーザーはないので、それでいくらログインを試みられても、こちらは大丈夫です。
しかし、「パスワードの間違い」があるということは、ユーザーIDはバレているということです。
そうなんです。実はユーザーIDは簡単に分かるんです。いつかはパスワードが破られるかもしれません。
まずは、その対策を練る必要が出てきました。
そこで取った対策は次の記事で。
WordPressのセキュリティ対策:
