りゅんた(@RyunNote)です´ω`)ノ
最近海外からのアクセスがものすごい多いんです。10アクセス以上同時に。ただ単にアクセスしてくれているのかなぁっと思いきや、1アクセスが欠けると全員離脱するという状況に。
これは怪しいんじゃないかなぁっと思い、ログインを規制することにしました。
photo credit: dustball via photopin cc
スポンサーリンク
異変に気付いたのはリアルタイムアクセス
Google Analyticsのリアルタイムを見ていたら上画像のような画面に。アクセスが多くて喜んでいたのですが、まずアクセス元がない。よくあることなので気にしていなかったのですが、その後アクセスが2に一気に下がりました。
これはおかしい。絶対おかしい。
スポンサーリンク
WordPressのログイン画面は誰でも出せる!?
WordPressのURLにwp-login.phpやwp-admin.phpを入力すると簡単にログイン画面が出てきます。(変更も可能です。)
つまり入口はつねに見える状況下なんですね。ここに不正ソフトなどでアタックすれば破ることができるかと…。
当ブログではユーザー名とパスワードは複雑にしてあるので、以前のadmin事件の時の被害はありませんでした。が、これからどうなるか分からないので対策です。
スポンサーリンク
ログイン回数を規制するプラグイン”Limit Login Attempts”を導入
公式サイトから導入するか
もしくはプラグイン→新規追加→”Limit Login Attempts”で導入してください。
僕の”Limit Login Attempts”設定はこんな感じ
設定→”Limit Login Attempts”から細かく設定ができます。
今現在僕の設定です。
Statisticsはロックした回数が表示される
StatisticsのTotal lockoutsはロックした回数が表示されます。IPアドレスなども表示されるため、アクセス不可にすることも可能。(ロボットに通用するかは不明ですが…。)
Optionsの説明
Lockout
上から順番に
- ログインの再試行回数 (3回)
- 再試行回数を越えた場合、何分アクセスできないようにするか(90分)
- 24時間(1サイクルとして)で~回ロックされた回数を監視(24時間で4回ロックされたアクセス)
- ログイン試行回数をリセットする時間(24時間)
()内は僕の設定となっています。
Site coneection
リバースプロキシとサーバに関する設定(僕は分からないのでデフォルトのまま)
Handle cookie login
クッキーに保存されている情報からログインできるかどうか。(Noの方が厳しいセキュリティになるかと)
Notify on lockout
- ロックされたIPアドレスの記録
- ~回のロックで運営者にメール通知をする
このように設定してあります。
ご自身で設定してみてください。
スポンサーリンク
りゅんた的ℜoundUp
WordPressがかなり有名になり、求人件数にも影響していますがその分不正アクセスも増えるため、しっかりセキュリティは設定しておきましょう。
[R]ついに攻撃が来た…。Google AdSenseを停止させる方法は簡単なんだよ
[R]記事の丸パクリは許さない!プラグイン+αで防ぐ盗記事!Not記事泥棒!
[R]僕的にWordpress運営のおすすめサーバーをまとめてみた。
