2013-08-29

[WordPress] WordPressの不正アクセス対策(Login LockDown & Login rebuilder)

WordPress
ロリポップで運営しているいくつかのサイトで、アクセスに時間がかかるなあ、と思っていたら、
どうもロリポップに不正な大規模攻撃がしかけられているらしいです。
しかもWordPressへの不正アクセスや乗っ取りも多発しているとか。

つい最近もWordPressへの不正アクセスでadminユーザーは使わないようにというアナウンスが
各レンタルサーバーからあったばかりですが、ほんと迷惑な話です。。


adminユーザーは以前から使用しないようにしていましたが、
こうなると何かしら別の対策を講じないわけにもいきません。

ロリポップからは接続元のIPを制限させるアナウンスがありましたが、
正直個人レベルでは固定IP持っている人は少ないですよ。。。

というわけで、以下の2つのプラグインを導入しました。
・パスワードを何度か間違えたら一定時間アクセス不可にするプラグイン「Login LockDown」
・管理画面のURLをデフォルトのwp-login.phpから変更するプラグイン「Login rebuilder」


※2013-09-05 追記
「Login LockDown」は「Simple Login LockDown」に変更しました。
http://aroun-d.com/2013/09/05/4466/


どちらのプラグインもインストールしてごく簡単な設定でOKです。
それぞれの参考はこちらから
http://wp-exp.com/blog/login-lockdown/
http://elearn.jp/wpman/column/login-rebuilder.html

Login LockDownは試してみたところ、指定の回数間違えても特に新たなアラートもないので
ちょっと拍子抜けな感じではありました。
もちろん指定回数間違えた後に正しいパスワードを入れてもログインはできませんでした。

Login rebuilderの方は完全にログインのURLが変更になるので、
こちらは効果が高いのではないかと思いました。

とりあえずこれで一定のセキュリティレベルになったと信じたいです。

Comment:

Trackback URL: