ログを取ってくれる「Crazy Bone(狂骨)」を入れてみた
| WordPress、WordPressプラグインセキュリティ対策のためにログインログというのはすごく大事!
でもWordPressはデフォルトではないのですよね。なんでやろか。
ってなわけで簡単にログを取ってくれる「Crazy Bone(狂骨)」をご紹介!
インストール&セッティング
プラグインのインストールから「Crazy Bone」で、検索 -> インストール -> 有効化という通常の流れでインストールできます。
※狂骨ってのはここでは出ないみたいですね。
セッティングは特にないので、これでアクセスログを見るだけですね。
アクセスログを見るには
アクセスログを見てみる
見るには「ユーザー -> ログイン履歴」で見ることができます。
こんな感じでログイン履歴が確認できます。
リスト上部で見たいデータだけをフィルタリングできるみたいですね。
出来るフィルタリングは「ユーザー別(全て/不明/各ユーザー)」「login/logout/login_error」です。
ログイン履歴を確認して
今回、プラグインの紹介をするために、ログイン履歴を見ましたが、ブルートフォースアタック(総当たり攻撃)があったで、結構焦りました。弱小サイトにもこんなんしてくるんかと・・・関係ないみたいですね。
上記、スクショでも海外からのが見られますが、他にもかなりのアクセスがありました。
ブルートフォースアタック(総当たり攻撃)
総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
wiki
対策をしてみる
対策としては、一般的には
- ユーザーIDをadmin以外にする
- パスワードを複雑で長いものに変更する
- IP制限をかけちゃう
こんなところでしょうか。
他にもあるかもしれませんが。。。
僕に関してで言えば1個目2個目はクリアです。「admin」も使ってないですし、パスワードもツール使って生成しております。
ちょっとやそっとじゃ、無理だと思います。
IP制限をかけるを追加しました。
WordPressのIP制限は一般的には「wp-login.php」や「wp-admin」に制限をかけるようですね。
ってことで、ぱぱっとアクセス制限をかけてみました。
これで様子見ですね。
最後に
今回WordPressでのことを書いていますが、WEB上でログイン画面があり、ID,PASSでログインが出来るサイトを運営しているところも同じことが言えると思います。WordPressだけセキュリティ対策をしろよ!ってことではないのであしからず。
Crazy Bone(狂骨)(ログイン履歴)は、セキュリティ対策として必要ですが、履歴を見れるだけでは無意味なので、ちゃんと対策を取ってください。