サウンドハウス

WordPressのログイン履歴を保存するプラグイン「狂骨」を使ってみた

WordPressではデフォルトのユーザー名が「admin」になっています。
最近ではこの「admin」を使っているユーザーを狙ったブルートフォースアタックが大流行している模様。

WordPress狙う大規模攻撃が発生、管理者アカウントを標的に – ITmedia エンタープライズ

そんな中WordPressのログイン履歴を保存してくれる便利なプラグインがリリースされていたので早速導入してみました。

http://dogmap.jp/2013/05/13/crazy-bone/
WordPress のログイン履歴を保存するプラグイン「狂骨」 | dogmap.jp
ダウンロードとインストールは下記ページから。
WordPress ? Crazy Bone ? WordPress Plugins

プラグインのインストールと有効化を行うとユーザー欄に「ログイン履歴」の項目が追加されます。

プラグイン有効化後のログイン履歴を収集してくれます。
一日位経てばかなりのログイン試行の形跡を確認できるはず。

ドロップダウンリストを左から「不明」「login_error」と選んで「フィルタを適用」をポチッと。

すると「admin」でログインしようとした履歴が大量に。

うちのサイトだと多い時だと一日で100件前後のログイン試行があったみたい。
サーバーのアクセスログも久々に見返してみるとログインページへのアクセスがめちゃくちゃ多い。
ブログのアクセス数より圧倒的に多いです(;´Д`)
レンタルサーバで運用していてアクセスログ機能がある人はログインページにおかしなアクセスが無いか確認してみると良いかも。
Botか何かがやってるんだろうからサイトの人気あるなしにかかわらず、
WordPressユーザー全員が無差別爆撃の対象になってるみたいですね。

何かと危険なデフォルトのユーザー名「admin」を使っている場合は変更した方が良いかも。
乗っ取られる前にセキュリティ強化。WordPressのadminユーザーを変更(削除)する方法

既にユーザー名を変更してある場合は「狂骨」の作者様のブログで紹介されている対策がお勧め。
Brute force attack との戦い | dogmap.jp
うちのブログでも設定を参考させてもらいました。

乗っ取られてからでは後の祭りなので常日頃からセキュリティ関連には気を配っておくのが大事ですね。

コメント(メールアドレスの入力は任意です)