プログラミングゆるめモ

プログラミングに関することをゆるくメモしてます

WordPress セキュリティ

ログに不正ログインの試みが記録されていたので対策を実施

2017/05/22

皆さん、セキュリティーは大切ですねぇ。

おや?今日はなんか、アクセスが多いなぁ。
ブログを始めて2週間弱が過ぎて、ちょっとは見てくださる方が増えてきたのかなと嬉しくなったのですが
ログを見てみたら、全然違いました。
大量のログインアクセスの履歴が・・・
そうです、不正侵入を試みられたので、アクセスが増えていただけでした。
ここのパスワードは、無意味な文字列でしかも長いので、ログインを突破されることはないとは思うのですが
どうにも、精神衛生上よくありません。
ログイン攻撃に対するセキュリティー対策としては
・一定回数ログインに失敗したら、しばらくログイン不可にするプラグイン
・ログインのURLを変更してしまい、ログインをできなくするプラグイン
などがありました。

今回は対策として、ログインURLを変更してしまうプラグインをインストールすることにしました。
ログインURLは、WordPressの標準状態だと
http://pgmemo.net/wp-admin/ になっています。
つまり、http://ブログのURL/wp-admin/ が必ずログインURLという訳です。
ですので、このログインURLを開いて、攻撃を実行されると
安易な、ユーザー名/パスワードを使っていると、ハッキングされてしまいます。

今回インストールしたのは、Login rebuilder です。
設定は簡単です。
設定方法は
[1]新しいログインファイルを決める
[2]変更を保存する(保存すると設定ファイルが自動的に作成される)
[3]ステータスを稼働中に変更する
[4]変更を保存してログアウト後に再ログイン
となります。

プラグイン Login rebuilder をインストールして有効化すると
「設定」に「ログインページ」という項目が現れます。
設定-ログインページを開くと
・無効なリクエスト時の応答  (ログインに失敗したときの動作)
・ログインファイル キーワード (定義ファイルに書き込む識別文字列 自動的に生成してくれます)
・新しいログインファイル (定義ファイルの名前であり、新しいログインURLになります)
・第2ログインファイル (複数人がログインする場合に使用、今回は未使用なのでブランクのまま)
・ステータス (設定を有効にするときに稼働中に切り替えます)
・ログ保存 (ログを保存するかの設定)
・その他 (今回は変更せず)
以上の設定項目が表示されます。

実際に行った設定は
・新しいログインファイル wplogin-ikqqwfkrdkshvesw.php こんな感じの文字列を入力しました。この新しいログインファイルが、新しいログインURLになります。
・とりあえず、[変更を保存]の青いボタンを押して設定を保存します
・wplogin-ikqqwfkrdkshvesw.php というファイル名でファイルが自動的に作成されます
中味は、表示されているこんなのですね

・最後にステータスを、稼働中に切り替えて、[変更を保存]の青いボタンを押す

ログアウトすると、もう
http://pgmemo.net/wp-admin/
からはログインできなくなってます
新しい、ログインURLである
http://pgmemo.net/wplogin-ikqqwfkrdkshvesw.php
からログインです。

-WordPress, セキュリティ