WordPressのログイン画面へのアクセスやログイン試行結果を通知するプラグインをバージョン0.51へアップデート。ログイン結果が成功したのか失敗なのか等の詳細を通知するようにしました。特定通知を対象外とする等の前回のアップデート内容とあわせて紹介します。
WordPressのデフォルトユーザの”admin”に対して手当たり次第にパスワードを変えて侵入を試みるブルートフォース攻撃が続いています。まだ”admin”ユーザを利用されている方は削除のうえ管理者権限を別ユーザ名に割り当てることを強くお勧めします。
なおこのプラグインはセキュリティを高めるものではありません。自分のサイトがいかに外部からの攻撃にさらされているのか等を含めたリスクアウェアネスを高めていただくことを目的としています。
プラグインの機能
- WordPressログイン画面へのアクセスを通知
- 通知先は指定メールアドレスや通知系アプリのProwl、im.kayac.com、NMA、Pushoverに対応
- ログイン失敗時にブログトップ画面へ自動リダイレクト
- ユーザ名”admin”ログイン試行、ログイン画面へアクセスのみを通知対象から外す、またはログイン成功だけを通知などのDon’t disturbオプション
- ログイン試行結果、ローカル日付、ユーザ名、IPアドレス、ホスト名、ブラウザ、リファラーを通知
アップデート内容
前回と今回で次のような機能を追加しています。
- ログイン失敗した時、自動でブログのトップURL(自動取得)へリダイレクトします。
- ブルートフォース攻撃の通知で埋まってしまう場合、adminユーザを通知対象外にするDon’t disturbオプションを追加しました。既にadminユーザを削除している場合にお勧めです。
- またDon’t disturbオプションにログイン成功したときのみ通知するオプションを追加しました。他のアクセス状況を通知しなくなりますのでお勧めしません。
- ログイン結果が成功なのか失敗なのかを通知します。
- ログイン失敗時にユーザ名やパスワードが入力された状態でログインボタンがクリックされたかどうかを通知します。
ブルートフォース攻撃(Brute Force Attack)への対処
都度IPブロックするのが最も有効なようですが、やはり手間がかかって面倒です。今のところ簡単に止めることは難しそうなので、ログを取ってしつこいIPアドレスを優先的にブロックするのが効果的な方法なのかもしれません。詳細に解説されているサイトがありましたので参考にしてみてはいかがでしょうか。