昨日、このブログのログイン記録を確認した所、
以下の画像の様な結果が表示されていました。
ベトナムとかマカオからログインなんて、行ったも事ねーよwって感じです。(タイには行きたいかも。。。)
その辺りで少しビビってるので、今回はWordPressのセキュリティ関連のプラグインについて書いてみます。
海外からのログインが試みられた様です。
このブログは日本国内から更新しているので、通常は国名は「japan」表記で、国旗は日の丸マークが付く様になっています。
↑こんな感じが正常。
これまでもログイン履歴はずっと私がログインしていた分だけしかないのですが、
海外からこの様に頻繁に仕掛けられるのは本当に昨日今日からです。
ログイン履歴監視プラグイン「crazy bone(狂骨)」
上記のキャプ画のログイン監視画面は、ログイン履歴を監視してくれる「crazy bone(狂骨)」というプラグインのモノです。
ログイン成功、ログアウト、ログイン失敗の3種類を監視してくれます。
今回の海外からのログイン失敗の履歴が残ってます。
このプラグインで不正ログインを防ぐ事は出来ませんがこうした攻撃の頻度を知ることによって、より強固な対策を立て得るメリットがあります。
私の場合はこの事が分かったので、まずパスワードを変えて、時間がある時にユーザー名も変えようと思ってます。
スパム防止プラグイン「captcha」
コメント欄のスパムコメント防止機能があるため「スパム防止プラグイン」と書きましたが、
ログインフォームにもこの機能が使える為、私はこのプラグインを導入してます。
例えば、ログインフォームにこのプラグインを適用するとこんな感じ。
ユーザー名とパスワード入力欄と、その下に「スパムコメント防止のため・・・」と書いてあり、計算式の入力フォームが追加されてます。
ここに漢数字と英数字の組み合わせの計算式が成り立つ様に数字を入力するというもの。
これでログインの手間が増えますが、数字の入力を一つ増やすだけで不正ログインを防げるなら儲けモンと思って入れてます。
セキュリティ対策プラグイン「WordFence」
このプラグインでWordPress中身のファイルのスキャン・修復や、簡易的にアクセスログの確認などが出来ます。(一部有料でオンになる機能アリ)
このプラグインの「Live Traffic」機能を使うと、
どれだけこのブログにアクセスがあったか分かりますが、GoogleのBotは良いとして。。。
中国や諸外国のアクセスの多い事。
また、タブを「Login and Logouts」にすると、誰がどんなIDでログインを試み、結果がどうなったか分かります。
具体的には、ユーザー名を「admin 」と入力してでログインしようとした者、複数のIPからこのブログのユーザー名(どうやって分かったのか!?)でログインしようとした者、そしてその結果が分かるようになってます。
例えば、
「admin」というユーザー名でログインを試みる者も居ますし、
何処からか、このブログのユーザー名でログインする者など。(ユーザー名の表示は隠しています。)
例えたら、家の外で鍵を持っていないから家に入って来ないけど、
表札もかけてないのに「⚪︎⚪︎さん!居るんでしょ!」て言われている気分ですw
結論:日本以外のアクセスブロックかけた方が良いなこりゃ
このブログを始める以前からWordPressを触っていた事はありますが、今回のブログ程セキュリティに気を付けた事は無く、
攻撃が頻繁にある事と、「パスワードだけで何とか守られている」という現実を改めて突きつけられた気がしました。
もうちょっと勉強する事にします。。。。
まずはユーザー名の変更しなきゃなー。
