開設してから丸4ヶ月が経とうとしている当ブログですが、開設当初からCrazyBone(狂骨)をインストールしています。
CrazyBone(狂骨)ってなんぞや?という方のために簡単に説明すると、WordPressのログイン履歴のログを取ってくれるプラグインになります。
で、たまーに見てたんですが、この2月に入ってついに!
というか今までなかったのが不思議なのですが、よそ者が侵入しようと試みた形跡がありました。
こんなしょっぼいサイトにまで仕掛けてくるなんて…暇な連中ですな。
今回はCrazyBone(狂骨)のインストール方法と対策について記しておこうと思います。
インストール方法
WordPressの管理画面の左メニュー
プラグイン > 新規追加 からCrazyBoneで検索し インストール > 有効化 という感じで簡単にインストールは完了します。
特に設定も必要ないです。
アクセスログの確認方法
WordPressの管理画面の左メニュー
ユーザー > ログイン履歴 から確認できます。
ログイン履歴?そこはCrazyBoneじゃないのか…
画面キャプチャはこちら
ここにもCrazyBoneとは書いていないのかw
それはさておき、左上のプルダウンでデータのフィルタリングができるようです。
フィルタリングは「ユーザー(全て/不明/ユーザー別)」「login/logout/login_error」が選べます。
で、「不明」で「login_error」にフィルタリングすると、見知らぬユーザーがログイン画面を突破しようと頑張った形跡が垣間見えます…(上の画像)
このままでは危ないなーと思いました。
ちなみに、CrazyBone(狂骨)はログイン履歴を確認するだけで、これ単体では対策ができません。
対策は別物ですので、何かしらの対策をとった方がいいでしょう。
対策方法
対策方法は色々あると思います。
ユーザー名を「admin」にしていると危険と言われます。
これはWordPressデフォルトのユーザー名だからです。なのでユーザーIDがadminの人は変えた方がいいでしょう。
また、パスワードが簡単なものもよろしくありません。
生成ツールなどで長くて複雑なものにした方がいいでしょう。
そして、もう一つくらいなんかしておこうと、とりあえず私が行った対策はwp-login.phpにBasic認証を掛けるというもの。
本当はIP制限を掛けるなどしたほうがいいんでしょうけど、あいにく固定IPではないので…。
Basic認証の掛け方
まず下記のようなサイトから.htpasswdというファイルを作成します。
そして、以下の記述の.htaccessファイルと先ほどの.htpasswdをwp-login.phpと同階層に設置します。
<Files wp-login.php>
AuthName "Input ID & Password"
AuthType Basic
AuthUserFile /サーバーパス/.htpasswd
Require valid-user
</Files>設定が完了すると、ログイン画面に入る前にIDとパスワードを聞かれるようになります。
いわば二重ロックな状態で、入り込む意欲を喪失させようという魂胆ですね。
設置してからは、今のところよそ者のログインエラーの履歴はありません。
とりあえず、しばらくこれで様子見てみることにします。
ではでは~!
ランキングにご協力お願いします!
