WordPressのプラグインCrazyBone(狂骨)でセキュリティ対策を!

WordPressのプラグインCrazyBone(狂骨)でセキュリティ対策を!

開設してから丸4ヶ月が経とうとしている当ブログですが、開設当初からCrazyBone(狂骨)をインストールしています。
CrazyBone(狂骨)ってなんぞや?という方のために簡単に説明すると、WordPressのログイン履歴のログを取ってくれるプラグインになります。

で、たまーに見てたんですが、この2月に入ってついに!
というか今までなかったのが不思議なのですが、よそ者が侵入しようと試みた形跡がありました。
こんなしょっぼいサイトにまで仕掛けてくるなんて…暇な連中ですな。

今回はCrazyBone(狂骨)のインストール方法と対策について記しておこうと思います。

Advertisement

インストール方法

WordPressの管理画面の左メニュー
プラグイン > 新規追加 からCrazyBoneで検索し インストール > 有効化 という感じで簡単にインストールは完了します。
特に設定も必要ないです。

Advertisement

アクセスログの確認方法

WordPressの管理画面の左メニュー
ユーザー > ログイン履歴 から確認できます。
ログイン履歴?そこはCrazyBoneじゃないのか…

画面キャプチャはこちら

ここにもCrazyBoneとは書いていないのかw
それはさておき、左上のプルダウンでデータのフィルタリングができるようです。
フィルタリングは「ユーザー(全て/不明/ユーザー別)」「login/logout/login_error」が選べます。

で、「不明」で「login_error」にフィルタリングすると、見知らぬユーザーがログイン画面を突破しようと頑張った形跡が垣間見えます…(上の画像)
このままでは危ないなーと思いました。

ちなみに、CrazyBone(狂骨)はログイン履歴を確認するだけで、これ単体では対策ができません。
対策は別物ですので、何かしらの対策をとった方がいいでしょう。

Advertisement

対策方法

対策方法は色々あると思います。
ユーザー名を「admin」にしていると危険と言われます。
これはWordPressデフォルトのユーザー名だからです。なのでユーザーIDがadminの人は変えた方がいいでしょう。

また、パスワードが簡単なものもよろしくありません
生成ツールなどで長くて複雑なものにした方がいいでしょう。

そして、もう一つくらいなんかしておこうと、とりあえず私が行った対策はwp-login.phpにBasic認証を掛けるというもの。
本当はIP制限を掛けるなどしたほうがいいんでしょうけど、あいにく固定IPではないので…。

Basic認証の掛け方

まず下記のようなサイトから.htpasswdというファイルを作成します。

LUFTTOOLS

そして、以下の記述の.htaccessファイルと先ほどの.htpasswdをwp-login.phpと同階層に設置します。

<Files wp-login.php>
AuthName "Input ID & Password"
AuthType Basic
AuthUserFile /サーバーパス/.htpasswd
Require valid-user
</Files>

設定が完了すると、ログイン画面に入る前にIDとパスワードを聞かれるようになります。
いわば二重ロックな状態で、入り込む意欲を喪失させようという魂胆ですね。

設置してからは、今のところよそ者のログインエラーの履歴はありません。
とりあえず、しばらくこれで様子見てみることにします。

ではでは~!

Advertisement

ランキングにご協力お願いします!

にほんブログ村 にほんブログ村

ブログ運営カテゴリの最新記事