普段WordPressを使っていても管理画面のセキュリティーについてはあまり気にしません。しかし今後はちょっと気にしてみようと思いました。まずはプラグインの紹介からさせていただきます。

ログイン履歴がわかるプラグイン-Crazy Bone (狂骨)

Crazy Bone (狂骨)というプラグインはWordPressのログイン履歴がわかるプラグインです普段自分自身しかログインしないと思っている人は一度入れてみてください。ケースによっては一気に青ざめます。

不正ログインを試みられていた

logwでは導入後、20時間程度で一万回のログインを試みられていた事がわかりました。IDは漏れていましたがパスワードまでは漏れていなかったので不正ログインはされませんでした。

このプラグインをいれて確認するまでは気にもとめていませんでした。プラグインをいれてみて初めて管理画面を対策しないでいるのは危険だと気づきました。

今からできる対策！

logwではこの事実がわかってからすぐに対策を施しました。今回は3つほど当てさせて頂きます。どれも.htaccessを使うやり方になります。

1.ベーシック認証を設置

一番オーソドックスな方法です。.htaccessが使えるサーバーなら容易に導入することができます。できるだけ長いIDとパスワードにしたり、記号をいれたりするのが安全です。

デメリットとしてはオーソドックスな方法ですがベーシック認証解除とWordPressログインと二段階の認証をふまないといけないため面倒です。

2.特定IP拒否

勝手に管理画面にログインしようとしたIPアドレスを.htaccessを使って拒否します。
サンプルを配置しておきます。

order allow,deny
allow from all
deny from .go.jp 　　# 政府機関を拒否
deny from 82.165. # 82.165.xxx.xxx を拒否
deny from .ac.jp 　　# 学校関係を拒否

拒否したいIPアドレスをどんどん追加していきます。

デメリットとしては毎回毎回IP追加するのが大変です。

3.特定IPのみ許可

2の逆です。特定のIPアドレスのみを許可しています。固定IPを持っている方はこの方法が一番お勧めです。ベーシック認証みたいに二重ログインする必要性もありません。VPS以上ならSSHやFTPサーバーなどにも固定IPを許可だけすればサーバー全体のセキュリティーをあげられます。
サンプルとしては以下のようになります。

order deny,allow
deny from all
allow from 82.165.0.0 # 82.165.0.0だけを許可する

logwは特定ホストのみ許可というやり方にしました。デメリットは固定IPがなく変動IPだと毎回書き換えが面倒になる。最悪サーバーにアクセスできなくなるというのになります。

logwが行っている方法

詳しくは別記事で紹介しますが、固定IPルーターを借りてそのルーターのIPのみ接続許可をだしています。自宅PCや外からはVPN接続をしてルーターにアクセスしています。この方法で管理画面へのアクセス制限をかけています。

ログイン履歴

こんな感じです。IPアドレスやユーザー名はぼかしをいれています。

プラグインのダウンロード

プラグインはhttps://wordpress.org/plugins/crazy-bone/からダウンロードできます