お問い合わせページを作るために入れたJetpackプラグイン。
wordpressのダッシュボードにJetpackごとの統計ボックスが出るんですが、「ブロックした悪意あるログイン試行」というなかなか刺激的な文言に「1」がついています。
総当たり攻撃はこんな端っこのブログまでくるんやな。と感心しましたが、2度目がないように[SiteGuard WP Plugin]で対策します。
wordpressを守る最良の方法
まず、ブロックした悪意あるログイン試行(Brute force attack protection)からwordpressを守る最良の方法はログイン画面を変更することです。
普通にwordpressを使っていたらダッシュボードにログインするページはこの辺りを使ってるんじゃないでしょうか。
- https://example.jp/wp-admin/
- https://example.jp/wp-login.php/
- https://example.jp/admin/
- https://example.jp/login/
- https://example.jp/dashboard/
これ全部ワードプレスにログインする入り口に使えるurlなんで、後は「ユーザー名」と「パスワード」を見つければログインできます。
で、この入り口urlを変更したらかなりセキュリティー高いと思うんで変更します。
できる限りプラグインを入れたくないんで、テーマを少し変更するかなと思いましたが、バージョンアップ時に面倒が起こりそうなんで却下。
テーマのバージョンアップに左右されないプラグインはやはり重宝します。
Login rebuilder
プラグインを入れるにしても軽いやつがいいと思ったんで、最初の候補は「Login rebuilder」
まさに今回したいことのみ特化した理想的なプラグインです。
SiteGuard WP Plugin
しかし、今回入れたプラグインは「SiteGuard WP Plugin」
高機能なプラグインで、導入の決めてとなったのはログインページの変更はもちろんのこと、コメントスパムにも効果を発揮するからです。
SiteGuardの設定方法
プラグインも使っているうちに慣れて自分設定が出来ますが、最初だけ理解するのが面倒ですよね。
ほぼ初期設定のままですが、こんな感じで変更して登録しました。
ログインページ変更
今回のメインテーマであるログインページ変更。
変更後のログインページ名は「SiteGuardデフォルト」でも「好みのアドレス」でもok。ワードプレスデフォルトの「wp-admin」とはセキュリティー面で雲泥の差があります。
[ログインページ変更]のオプション「管理者ページからログインページへリダイレクトしない」に[チェック]する。
設定内容を保存するには[変更を保存]ボタンをクリック。
管理者ページからログインページへリダイレクトしないにチェックを入れるとログインしていない状態で/wp-admin/にアクセスした場合に404 Not Foundとなり、変更されたログインページにリダイレクトされなくなります。
不正アクセスをログインページに誘導する必要はないですよね。
[画像認証]のログインページは[無効]
ログインページのアドレスを変更したのでほぼ自分のみ利用で画像認証は面倒という判断。不正なアクセスがあるようなら再考する。
[ログインアラート]を[オフ]
自身でログインするたびにメールを送ってくるので面倒に思いオフにしました。
[更新通知]を[オフ]
wordpressにログインすると目立つ更新通知があるので、メールの削除が面倒なのでオフにしました。
セキュリティーリスクを減らすには、できる限り設定を[有効]にしてください。
ログイン画面の隠蔽が完了
ログインページのアドレスを変更したことによって、「ブロックした悪意あるログイン試行」はまずなくなります。
SiteGuard WP Pluginを使う副産物として、たくさん来ていた海外からのコメントスパムもなくなりました。
画像認証でひらがなを設定しているのが効いていると思います。
非常に高機能なSiteGuard WP Pluginを入れておけば、より複雑なセキュリティーリスクにも機能解放で対応できます。
たくさん同じような機能のプラグインを入れなくてもSiteGuard WP Plugin一つでカバーできる範囲が広いのでおすすめです。
コメント