photo credit: DaveBleasdale via photopin cc
前々回の記事「CrazyBoneで不正なログインを監視する」
でログインを監視していたところ、ユーザーIDがadminでないにもかかわらずバレていることがわかりました。
そして、前回の記事「adminから変えてもユーザーIDは丸見えすぐに手を打とう」
でやったとおりに、ユーザーIDが分からないように設定を変えました。
その後、問題のサイトを監視していたら、継続的にログインの試みが繰り返されていました。
そうなんです。ユーザーIDはバレているので、あとはいつパスワードが破られるかという状態です。
困りました。
そこで、今度は、不正なアクセスをブロックするための新しいプラグインを導入してみました。
Limit Login Attemptsで不正アクセスをブロック
今回導入したプラグインは「Limit Login Attempts」です。
一定回数ログインに失敗すると、ログインを試みたIPからのアクセスをブロックするというものです。
インストールは簡単です。
プラグインの新規追加画面で「Limit Login Attempts」を検索すると、すぐに見つかります。
あとは、「いますぐインストール」を選んで、有効化すればすぐに使えます。
プラグインの最終更新から2年経っているというところが気になりますが、WordPressの4.0でも問題なく使えています。
Limit Login Attemptsの設定をする
インストールして有効化したら、「設定」「Limit Login Attempts」と進むと設定画面に行けます。
日本語化されていませんが、設定項目はそんなに多くありません。
まずは、ロックアウトの設定です。
上から
- ログインの再試行を何回まで許可するか
- 上で設定した回数ログインに失敗したときにIPをブロックする時間
- 何回ブロックが発生したら、何時間ブロックするか
- 再試行がリセットされるまでの時間
となっています。
デフォルトのままでも構わないと思いますが、私は再試行回数を3回に制限しました。
そして、下にあるのが通知の設定です。
この設定は、4回ロックアウトしたときに、ログインを試みたIPアドレスを通知するようにしています。こうすることで管理者のアドレスに通知が届きます。
Limit Login Attempts導入後
Limit Login Attemptsを導入してどうなったかというと、相変わらず不正アクセスは続いていて、かなりのロックアウトが発生しました。
下の画像がロックアウトの履歴です。モザイク部分は、正しいユーザーIDです。他に「admin」や「administrator」でのログイン試行もあります。
クリックで拡大
1日に3回もロックアウトの通知が届いたこともあります。
ユーザーIDがバレているので、いつかはパスワードが破られるのではという心配は拭えません。
ここは新しいユーザーIDを作るのがいいのかなぁ。
WordPressのセキュリティ対策:
WordPressのセキュリティ対策 CrazyBoneで不正なログインを監視する(前々回の記事)
WordPressのセキュリティ対策 adminから変えてもユーザーIDは丸見えすぐに手を打とう(前回の記事)
