お問い合わせページを作るために入れた Jetpack プラグイン。
WordPress のダッシュボードに Jetpack ごとの統計ボックスが出るんですが、「ブロックした悪意あるログイン試行」というなかなか刺激的な文言に「1」がついています。
総当たり攻撃はこんな端っこのブログまでくるんやな。と感心しましたが、2度目がないように[SiteGuard WP Plugin]で対策します。
WordPress を守る最良の方法
まず、ブロックした悪意あるログイン試行(Brute force attack protection)から WordPress を守る最良の方法はログイン画面を変更することです。
普通に WordPress を使っていたらダッシュボードにログインするページはこの辺りを使ってるんじゃないでしょうか。
- https://example.jp/wp-admin/
- https://example.jp/wp-login.php/
- https://example.jp/admin/
- https://example.jp/login/
- https://example.jp/dashboard/
これ全部ワードプレスにログインする入り口に使える URL なんで、後は「ユーザー名」と「パスワード」を見つければログインできます。
で、この入り口 URL を変更したらかなりセキュリティー高いと思うんで変更します。
できる限りプラグインを入れたくないんで、テーマを少し変更するかなと思いましたが、バージョンアップ時に面倒が起こりそうなんで却下。
テーマのバージョンアップに左右されないプラグインはやはり重宝します。
Login rebuilder
プラグインを入れるにしても軽いやつがいいと思ったんで、最初の候補は「Login rebuilder」
https://ja.WordPress .org/plugins/login-rebuilder/
まさに今回したいことのみ特化した理想的なプラグインです。
SiteGuard WP Plugin
しかし、今回入れたプラグインは「SiteGuard WP Plugin」
https://www.jp-secure.com/SiteGuard _wp_plugin/
高機能なプラグインで、導入の決め手となったのはログインページの変更はもちろんのこと、コメントスパムにも効果を発揮するからです。
SiteGuard の設定方法
プラグインも使っているうちに慣れて自分設定が出来ますが、最初だけ理解するのが面倒ですよね。
ほぼ初期設定のままですが、こんな感じで変更して登録しました。
ログインページ変更
今回のメインテーマであるログインページ変更。
変更後のログインページ名は「SiteGuard デフォルト」でも「好みのアドレス」でも OK。ワードプレスデフォルトの「wp-admin」とはセキュリティー面で雲泥の差があります。
[ログインページ変更]のオプション「管理者ページからログインページへリダイレクトしない」に[チェック]する。
設定内容を保存するには[変更を保存]ボタンを押します。
管理者ページからログインページへリダイレクトしないにチェックを入れるとログインしていない状態で /wp-admin/ にアクセスした場合に 404 Not Found となり、変更されたログインページにリダイレクトされなくなります。
不正アクセスをログインページに誘導する必要はないですよね。
[画像認証]のログインページは[無効]
ログインページのアドレスを変更したのでほぼ自分のみ利用で画像認証は面倒という判断。不正なアクセスがあるようなら再考する。
[ログインアラート]を[オフ]
自身でログインするたびにメールを送ってくるので面倒に思いオフにしました。
[更新通知]を[オフ]
WordPress にログインすると目立つ更新通知があるので、メールの削除が面倒なのでオフにしました。
ログイン画面の隠蔽が完了
ログインページのアドレスを変更したことによって、「ブロックした悪意あるログイン試行」はまずなくなります。
SiteGuard WP Plugin を使う副産物として、たくさん来ていた海外からのコメントスパムもなくなりました。
画像認証でひらがなを設定しているのが効いていると思います。
非常に高機能な SiteGuard WP Plugin を入れておけば、より複雑なセキュリティーリスクにも機能解放で対応できます。
たくさん同じような機能のプラグインを入れなくても SiteGuard WP Plugin 一つでカバーできる範囲が広いのでおすすめです。
コメント