1. IPの記録を取ろう Crazy Bone
まず管理画面にアクセスしてくるIPの記録を取ります。
プラグインがあるので利用しましょう、プラグインの新規追加より『Crazy Bone』で検索してインストールしてください。
これで管理画面のみのアクセス記録がとれますね。
2. 総当たり攻撃を防御 Limit Login Attempts
ツールでの管理画面へのブルートフォース攻撃を防ぎます。
プラグインの新規追加より『Limit Login Attempts』で探してインストールします。
allowed retriesで指定回数が超えたらそのIPからは20分ログイン不可、4回ログイン不可になったIPは1日不可になり、ロックアウトされるような不正アクセスを感知するとWordpressの『設定』で指定しているメールアドレス宛ににメールで通知を飛ばす、となります。
※以前はLogin Lockdownプラグインを使用してましたが、メール通知がないので今はLimit Login Attemptsを使用しています。
3. パスワードを長くしよう
英数大小文字 + 記号 × 20文字以上
わたしがかんがえたさいつよのパスワード!!
長すぎても不便でいけない、人に説明するのに20文字というのもキリがいい。
4. 管理画面へは日本のIPからのみ
システムガーディアンは日本密着型企業なので海外から管理画面にアクセスする予定がありません。これがグローバル企業にはないアドバンテージです。
では、日本からのみアクセス可能な.htaccessを取得します。
http://www.cgis.biz/tools/access/
ダウンロードしたら
wp-adminフォルダに.htaccessを設置しましょう。
これで海外から管理画面にアクセスできなくなりました。
※cronとシェルスクリプトで.htaccessを自動で更新するようにしてください。または手動
5. ログイン画面にアクセス者のIPを表示させよう
使用しているテーマのfunction.phpに以下を追加します。
[bash] //ログイン画面でIPを表示させる。function custom_login_message() {
$ipAddress = $_SERVER[“REMOTE_ADDR”];
$message = “<p class=\”message\”><strong>Your IP: {$ipAddress}</strong></p>”;
return $message;
}
add_filter(‘login_message’, ‘custom_login_message’);
[/bash]
もし不正アクセスが記録されていたらどうするの?
あまりに攻撃回数がひどいようででしたら・・
IP-tracerで解析しプロバイダへ通報しましょう。
http://www.ip-adress.com/ip_tracer/
またWEBディレクトリの最上層に.htaccessを新たに設置しアクセス禁止にしましょう。
[bash] order allow,denyallow from all
deny from アクセス禁止にするIPその1
deny from アクセス禁止にするIPその2
[/bash]
これで安全?
ブルートフォースはほとんど海外からなので、国内のアクセスに制限した今では脅威ではありませんが、実際のところ脆弱性のあるWordpressのバージョンや古いプラグインをそのまま使っていて、脆弱性を狙い撃ちされる場合が多いようです。極力プラグインを入れず更新をきちんと行うなどといった事が必要です。
※更新前にバックアップはとろう
