WordPressにログイン履歴プラグイン『Crazy Bone』を入れてみた結果

ログイン履歴

WordPressにCrazy Bone(クレイジーボーン、狂骨)というログイン履歴を残すプラグインがあるので入れて見ました。

管理画面で

ユーザー>ログイン履歴

と進むと上記の画面が表示されます。

その結果が最初の画像ですが、ログイン履歴を「全て」で「フィルタを適用」すると全てのログイン履歴が表示去れます。

その結果は…。

oh!・・・.

やばいよやばいよ、中国はもちろんとして、アメリカ、フランス、ルーマニア、カナダ、スペインなどなど、色んな国から順調に不正アクセスしようとする形跡がありました。その数26回。プラグイン導入から1日も経っていません。

履歴を見ると傾向がわかりますが、adminというIDに対してログインしようとする傾向が有ります。adminはなるべく使わないほうが良さそうです。

と言うよりは、IDはautherと同じ人も結構いると思われるので、バレバレなはずです。なのでパスワードのみに頼ることになっている人も多いと思います。それなのに、1234とかabcdとかにしているのはかなり危険ですね。

念の為にwp-adminにアクセスできるIPアドレスを絞ったほうが良さそうです。

管理画面へアクセスできるIPを絞るためにWordPressの.htaccessファイルの最初に下記を追加しました。

私の場合Yahoo BBですが、

私のIPアドレスが仮に221.77.95.266で合った時

<Files "wp-login.php">
order deny,allow
deny from all
allow from deny from 221.77.95.266
</Files>

とすれば大丈夫なわけですが、プロバイダのIPアドレスは固定IP契約をしていない場合、コロコロ変わったりします。

すると管理画面にアクセス出来ないということになりかねないわけです。

WS2014-04-20_18_48_29

そこで、IPアドレスツールズで該当IPアドレスのCIDRを求めます。IPアドレスが変わるとしてもこのアドレス空間だろうと予想の上です。CIDRまで変わってしまうような場合はしりませんw。

結果求められたCIDRを設定して下記のようになります。

<Files "wp-login.php">
order deny,allow
deny from all
allow from deny from 221.66.0.0/11
</Files>

これで、多少IPアドレスが変わってもログインできなくなることはないと思います。

IPアドレスツールズ – KUMA TYPE

 

crazy boneプラグインは下記からダウンロードできます。

ワードプレス>クレイジーボーン«ワードプレスプラグイン

タグ : ,