WordPressにCrazy Bone(クレイジーボーン、狂骨)というログイン履歴を残すプラグインがあるので入れて見ました。

管理画面で

ユーザー＞ログイン履歴

と進むと上記の画面が表示されます。

その結果が最初の画像ですが、ログイン履歴を「全て」で「フィルタを適用」すると全てのログイン履歴が表示去れます。

その結果は…。

oh!・・・.

やばいよやばいよ、中国はもちろんとして、アメリカ、フランス、ルーマニア、カナダ、スペインなどなど、色んな国から順調に不正アクセスしようとする形跡がありました。その数26回。プラグイン導入から1日も経っていません。

履歴を見ると傾向がわかりますが、adminというIDに対してログインしようとする傾向が有ります。adminはなるべく使わないほうが良さそうです。

と言うよりは、IDはautherと同じ人も結構いると思われるので、バレバレなはずです。なのでパスワードのみに頼ることになっている人も多いと思います。それなのに、1234とかabcdとかにしているのはかなり危険ですね。

念の為にwp-adminにアクセスできるIPアドレスを絞ったほうが良さそうです。

管理画面へアクセスできるIPを絞るためにWordPressの.htaccessファイルの最初に下記を追加しました。

私の場合Yahoo BBですが、

私のIPアドレスが仮に221.77.95.266で合った時

とすれば大丈夫なわけですが、プロバイダのIPアドレスは固定IP契約をしていない場合、コロコロ変わったりします。

すると管理画面にアクセス出来ないということになりかねないわけです。

そこで、IPアドレスツールズで該当IPアドレスのCIDRを求めます。IPアドレスが変わるとしてもこのアドレス空間だろうと予想の上です。CIDRまで変わってしまうような場合はしりませんｗ。

結果求められたCIDRを設定して下記のようになります。

これで、多少IPアドレスが変わってもログインできなくなることはないと思います。

IPアドレスツールズ – KUMA TYPE

crazy boneプラグインは下記からダウンロードできます。

ワードプレス>クレイジーボーン«ワードプレスプラグイン

タグ : WordPress, セキュリティ