WordPressを使っている方は知っておかなければいけない事があります。
それは、サーバーにWordPressをインストールして1時間も経つと、どこからともなく不正にアクセスしようと必死にアタックが開始される事を。
普通にインストールして使っている分には分かりませんが、「Crazy Bone」というプラグインを入れてアクセスログを取得すると、海外から頻繁にログインを試みてエラーが起きているのが判ります。
Crazy Boneの使い方
最近のレンタルサーバーではWordPressのセキュリティー対策として、下記のような機能(各社によって名称は異なります)が提供されている事が多いです。
・国外IPアドレスからのWordPress管理画面へのアクセスを制限
・管理画面のログイン試行回数の制限
・XML-RPC APIアクセス制限
・WordPressログイン試行回数制限
・国外IPアドレスからのコメント・トラックバック制限
国外からの管理やアクセスを必要とするなら別ですが、国内向けのブログで国内でのみ管理しているならば、これらの機能が有効になっているか確認しておきましょう。
このブログは、負荷分散のためにCloudFlareというCDN(コンテンツ・デリバリー・ネットワーク)サービスを利用しているため、国外IPアドレスからのアクセスを制限してしまうと、管理画面に全くアクセスできない事態が起こるので、国外IPアドレスからのアクセスを許可しておかなければいけません。
そこで威力を発揮するのが先ほど紹介した「Crazy Bone」というプラグインになります。
「Crazy Bone」では、いつどこの国のIPアドレスから何というユーザー名でログインしようとしたかが全て判るようになります。
このブログでも、中国・ロシア・ウクライナなどをメインに、同じIPアドレスから1秒間に50回近くのログインを試みた記録が残っていました。もう人間業とは思えないのは一目瞭然です(汗)。
CloudFlareの管理画面にログインすると「Firewall」という項目があり、「Firewall」の画面に移ると「Access Rules」という設定項目があります。
以前はIPアドレス単位やIPアドレスレンジ単位で制限をかけていましたが、一向に不正アクセスが止まる傾向が無いため国単位でアクセス制限を行なう事にしました。
・Valueに国名コード(2文字国名コード)を入れる
・Applies toはAll your websitesを選択
・ActionはChallengeを選択
国名コード(ISO 3166-1)
これで該当国からアクセスがあるとCAPTCHA(キャプチャ)画面となり、表示されたCAPTCHAを入力する事でコンピューター等による自動的なアクセスでは無い事が確認されると、初めてブログの画面を見れるようになります。
「Firewall」の項目ではセキュリティーレベルや、CAPTCHAを入力後のアクセス許可時間(デフォルトで1時間)なども設定できるので安心です。
その他にやっておくと良い事として、「wp-config.php」を.htaccessでアクセス不可設定にしてパーミッションを400などに変更するのも効果的ですが、一部のプラグインをインストールしようとするとエラーが起きる事もあるので注意が必要です。
他にもGoogle先生に「WordPressのセキュリティー対策」と聞けば、たくさんの対策法が見つかると思います。その中から自分にできる事や効果的と思われる事を実践するのが大事だと思います。
デフォルトの状態で使っているのは危険であり、どうぞ乗っ取って下さいと言っているに等しい行為になります。
セキュリティーなんて面倒で分からない・・・というあなたは、アメーバブログやgooブログなどの無料ブログサービスを使われる事をおススメします。