最近、WordPressのログイン画面に対するブルートフォースアタック(ユーザ名とパスワードの総当たり攻撃)が多くて困っています。ログイン画面のセキュリティーを高めるために、以下に紹介する4つのプラグインを入れてみました。

Crazy Bone (狂骨)

1つ目はCrazy Bone (狂骨)です。ログイン時のユーザ名、IPアドレスを記録してくれます。攻撃者がどんなユーザ名でログインしてきているか見れます。やっぱりadminが多いです。うちのブログはtakkaaaaa.comなので、takkaaaaaというユーザでのログインも試されています。ユーザ名を変えるときの参考になるかと思います。

色々なところで言われていますが、デフォルトのadminは絶対やめたほうがいいですね。

Edit Author Slug

WordPressのユーザ名ですが、結局、「http://ドメイン/?author=n」(n=0,1,2,3,・・・)でアクセスされるとバレてしまうんですよね。ですが、このEdit Author Slugプラグインを使うことによって、ユーザ名ではなくてニックネームや任意の文字列が表示されるように変更することができます。

WordPress管理画面の「ユーザー」-「あなたのプロフィール」の下の方に設定画面があります。塗りつぶしてあるのがWordPressのユーザ名で、takkaaaaaがニックネームです。
EditAuthorSlugの設定

Login Security Solution

Login Security Solutionはログインに何回か失敗すると一定時間ログイン出来ないようにするプラグインです。これにより、攻撃しづらくなるので、防御力が高まると思いますよ。

また、設定した回数ログインに失敗するとメールで通知する設定もできるので、管理者が攻撃に気づくこともできます。

WP-Ban

WP-Banは指定したIPアドレスからのアクセスを拒否するプラグインです。Crazy Boneで攻撃者のIPアドレスがわかるので、WP-BanでそのIPアドレスを指定して、アクセスを拒否しています。

終わりに

うちのような過疎ブログでさえ攻撃されるのだから、アクセスの多いブログはもっと大変だと思います。この記事が参考になったら幸いです。