WordPressへの不正なログインを記録できるCrazy Boneプラグイン

弱性が発覚したり、大規模な乗っ取り被害が多発したりWordPress界隈は物騒な話題には事欠きません。
ですが自分のサイトが狙われているという実感を持つ人は少ないのではないでしょうか。
そんな人にお勧めなCrazy Boneプラグインを紹介します。

Crazy Bone

Crazy BoneはWordPressで構築したサイトのログイン履歴をとってくれるプラグインです。
ログイン成功だけでなく、失敗の履歴も残してくれるため設置しているWordPressへ攻撃が行われている様子もバッチリ把握できます。

試しに私が運営しているサイトに設置導入したところ、1日平均で120件以上のログイン試行が行われていました。
またログイン試行はほぼ全てが海外から行われていることも確認できます。

こうした攻撃は乗っ取り被害に繋がるだけでなく、サイトの負荷が高まりサーバーにリソース制限を掛けられるといった事態に陥りかねません。
しっかりと対策を行いましょう。

海外からのログインを防止する

WordPressへの攻撃が海外から行われていることを考えると、海外からのログインを防ぐ措置はきわめて有効です。
海外からのログインを防ぐには方法がいくつかあります。

.htaccessを利用し海外からのログインを禁止する

.htaccessを書き換え、海外IPからのアクセスを禁止します。(正確には日本以外のIPアドレスを禁止します)
固定IPからアクセスできる人は、自分のIPアドレス以外からのログインを全て禁止するとより安全に利用できるでしょう。

海外からのログイン試行を禁止しているサーバーを使う

いくつかのレンタルサーバーでは、WordPressを利用する場合デフォルトで海外からのログインを禁止しています。
例として

  • さくらインターネット
  • エックスサーバー
  • ネットオウル社の各サービス(ミニバード、ファイアバード、クローバー)

などがあります。
既にこうしたサーバーを利用している人は比較的安心できます。

ユーザー名にadminを使わない

adminはWordPressの旧バージョンでデフォルトの管理者IDでした。
その名残からユーザー名adminを対象とした攻撃がとても多く行われています。
adminという名前は絶対使ってはいけません。

ログイン試行回数を制限する

ログイン試行に対して、回数制限を設けます。
WordPressへの攻撃は海外からが多くを占めますが、国内からの攻撃も無いわけではありません。
総当たり式の攻撃に対応するには、ログイン試行回数制限を加える必要があります。
仕組みとしては、パスワードを複数回間違って入力すると一定時間ログインリクエストを受け付けないという感じです。
プラグインで実装するのが良いでしょう。

  • Login Security Solution
  • SiteGuard WP Plugin
  • Limit Login Attempts
  • Simple Login Lockdown

など複数のソリューションがありますので、最適なものを選びましょう。
どれを選んでいいか分らない場合は高機能かつ導入しやすいSiteGuard WP Pluginがお勧めです。

まとめ

  • Crazy Boneは自サイトへの総当たり攻撃(ブルートフォースアタック)を可視化できます
  • 対策をとることで、セキュリティの向上だけでなくサーバーの負荷も軽減できます

セキュリティ対策やバックアップは少し面倒に感じることもあるでしょうが、いざ何かが起こったときの手間を考えれば絶対にやっておくべきことです。
大切なサイトはきちんと守るため日ごろから備えをしておきましょう。

  • このエントリーをはてなブックマークに追加