WordPressが普及していくにつれ、WordPressを使って製作されたサイトへのアタックも増えてきました。
クラッキングされた、という事例も少しずつですが出てきているようです。
そんな状況で、少しでもサイトを守るための手段をご紹介していきます。
IDとパスワードをランダムに生成し、生成されたIDとパスワードで次々とログインを試みます。
ログイン出来たらそのアカウント情報を記録し、改めてログイン出来たアカウント情報でアクセスし、いろいろなことをしていきます。
もちろんIDとパスワードがばれることも恐いのですが、短時間でかなりの回数ログインを試みますので、サーバへの負荷もかなりかかります。その間、アクセスが重くなったり、下手をするとサーバがダウンしてしまうこともあります。
それを防ぐためのプラグインがWordPressにはあります。
プラグイン「Limit Login Attempts」をインストールする
Limit Login Attempts | WordPress Plugins
この辺りでは有名なプラグインの一つです、「Limit Login Attempts」。
このプラグインが行うのは
・ログイン間違いを何度も行うとそのIPからはログイン出来ないようにロックがかかる
同一IPアドレスから、ある一定回数IDもしくはパスワードに誤りがあるログインが行われた場合、それ以上はログイン動作が出来ないようにロックされる
・ロックされた場合、ロックされたIPを記録する
また、メールで管理者に連絡する
という2つの動作です。
ちなみにIPアドレスの記録は下記のようになされます。
今回はあえてIPアドレスなどもそのまま表示しています。このブログの生データの一部です。
大量にアタック食らってますね。
ちなみにこのプラグイン、日本語化をされた方がいらっしゃいます。
Limit Login Attemptsの日本語化をしてみた | Webデザイン日々独学
なお、今回は紹介していませんが、同様のプラグイン「Login Lockdown」のことも少し触れて下さっています。
興味のある方は是非こちらのサイトもご覧下さい。
Crazy bone
最近、少し話題になっているのがこちらの「Crazy bone」です。
Crazy Bone | WordPress Plugins
こちら、ログインを試みたユーザ名やIPアドレス、国などを視覚化してくれるプラグインです。
あくまで「視覚化」のみで、それに対して何か防御的なことをやってくれるわけではありません、お間違えないように。
で、視覚化されたものが下記になります。
まあ「だから何だよ」と言われればそれまでなのですが・・
サーバ触れる方や.htaccessのことをご存じの方は、そちらでこのIPアドレスを「アクセス禁止」にしてもいいでしょう。
クライアントに危機感を持って頂くための資料として使ってもいいでしょう(セキュリティ絡みのお金って結構払ってくれないんですよね・・・)。
ただ眺めて「ニマニマ」するもよし・・・
個人的にはこれらでIDの傾向を探り、使われることのなさそうなIDへ変更する、ということに使っています。
両方入れるのはもったいないかもしれませんが、最初のうちは両方入れておいて、傾向が見えた時点で「Crazy Bone」は削除する、でもいいかと思います。
いずれにせよ、アカウント管理が大事ですね。
[tmkm-amazon]4883377245[/tmkm-amazon]
