WordPressログイン画面へのアクセスをメールやプッシュ通知で知らせるプラグイン

Banner

WordPressの管理者ログイン画面へのアクセスをメールやプッシュ通知を利用してiPhone、Android、BlackBerry等のスマートフォン、タブレット、Windows PC、Mac等に知らせるプラグインです。自分のログイン確認や第三者の不正アクセスの通知に利用できます。

Login Alert Notificationの目的

平常時は自分のログイン記録や第三者の不正アクセス検知が可能です。

その他、最近流行のBrute Forceアタックがどれほどの勢いなのかリアルタイムで感じることができます。botによる攻撃はIPを変えながらWordPress管理者のデフォルトIDであるadminに対してパスワードを変更しながら集中的にハッキングを試みます。

ブルートフォース攻撃に対してはLimit Login AttemptsやLockdown WP Admin、Stealth Login Pageのようなプラグインはほとんど効果がありません。IPをブロックしても次々に別のIPから攻撃してきます。

WordPressユーザの自衛意識を高めるのもひとつの目的ですが、ホスティングサービスを提供するプロバイダーの運営者の方にもよりセキュアな環境を構築していただくキッカケになれば幸いです。

通知する内容

WordPressのログイン画面(wp-login.php)が開かれた時、または当該ページでIDとパスワードを入力された時に以下の内容を通知します。

  • 使われたID
  • 日時(ローカル時間)
  • IPアドレス
  • ホスト名
  • ブラウザ
  • リファラー

WordPress管理画面からプラグインを追加

GitHubに公開していたプラグインをWordPress.orgからリリースしましたので、インストールされていた方は一度プラグイン一覧から無効化・削除してからインストールしてください。

新規追加からLogin Alert Notificationを検索してインストール、有効化します。

このプラグインはEメールとプッシュサービスのProwl、Notify My Android、im.kayac.com、Pushoverを利用して通知できます。設定方法は以下のとおりです。

設定方法

ダッシュボードの設定メニューからLogin Alert Notificationを選択します。あとは利用したいサービスにチェック、必要情報を入力して保存するだけです。

settings-panel

通知を止めたい場合は全てのチェックを外して保存するか、プラグインを無効化または削除してください。ブルートフォース攻撃が頻繁な時は他のプッシュ通知が埋もれてしまいますので、その執拗な攻撃を体感後にはオフにしてしまっても良いと思います。

ただし、まれにIDがadmin以外の時もありますので、botではない可能性が高いことから.htaccessを使ったIPブロックなども有効な手段ではないかと思います。

Eメールで通知する

ダッシュボードから設定>一般にある「メールアドレス」にメール送信します。送信元のメールアドレスを指定できますが、ブランクの場合は同一アドレスが送信元になります。

サーバーによってはfromとtoが同一の場合に送信エラーになる可能性がありますのでご留意ください。

im.kayac.comに通知する

このサービスはGoogle Talk(改めハングアウト)を経由できるので多くのプラットフォームのメッセンジャーアプリに通知することができます。

im.kayac.comのAPI認証は秘密鍵を選択しておき、この設定画面では当該ユーザ名と秘密鍵を入力してください。iPhoneやAndroidスマートフォンだけでなくMacや、たとえば、以下のようにWindows PCにも通知することが可能です。

GTConWinXP

マルチプラットフォームの受信環境については、以下のエントリで紹介していますので是非ご覧ください。

Prowl for iOSに通知する

Prowlという通知ソフトウェアの代表格と言うべきGrowlのモバイル版です。最近、ほとんどアップデートがないのでちょっと物足りない気がしています。設定方法はAPIキーを入力するだけです。

カメラロール-503

Prowlの使い方は以下のエントリで紹介しましたので参考にしてください。

Notify My Androidに通知する

Android向けのプッシュ通知サービスでNMAのように略すこともあります。機能的にはProwlと同等です。設定画面にAPIキーを入力して保存するだけです。

nma-android

Pushoverに通知する

最近気に入っているのがこのPushoverです。デバイス単位で通知の配信を選択したり、通知時にアイコンを指定することも可能です。iOSとAndroidの各ストアにアプリを提供しているので両方使うユーザにとってはさらにポイント高いアプリです。

pushover-android

設定画面ではアプリケーショントークンとユーザーキーを入力する必要があります。トークンはPushover公式サイトから簡単に作成することが出来ますが、紛らわしいので両方のキーの入力欄を誤らないようご注意ください。

このプラグインについて

このプラグインはWP Login Alert by DigiPをベースに設定画面とプッシュ通知などの機能を追加したものです。GPL2ライセンスですが、ホスティングにあたり作者の @xxDigiPxx さんにコンタクトのうえ主旨を説明して了解いただいています。