最終的に行き着いたwordpressの不正アクセス対策方法

2016年7月3日wordpress

wordpressは世界中の個人や企業での利用者が多い事もあってか、とにかくプログラムによる自動処理でのブルートフォースアタックが多い現状。

今までは狂骨やWP-Banを使って対策していましたが、いくらアクセス拒否するIPを追加してもイタチゴッコになってしまうんですよね。

スポンサーリンク

今までの対策

不正アクセスに対するpluginなんかも数多くあり、今までは下記のプラグインを使っていました。

指定したIPアドレスや国コードでのアクセス拒否が出来るplugin

これにあわせて、ログインを試みたユーザーのログを表示してくれるCrazy Bone (狂骨)(いつのまにか公式ディレクトリから消えてる)と組み合わせて使っていました。

Crazy Bone (狂骨)で不正にログインしようとするIPアドレスを見つける。

1分ごとにIPアドレスを変更してくるプログラムでアタックされる。

全てのアクセス元の国が日本以外の国だったので、国コードごと拒否をする。

【wordpressの不正ログイン対策】WP-Ban Pluginの国別で拒否設定方法&ホスト名リスト

これをしばらくの間使っていたのですが、アクセス元の国が判別出来ないものだと弾いてくれないんですよね。

最終的に行き着いた不正アクセス対策

そこでこのブログは個人ブログだし、記事を書くのも自分だけなのでこんな対策にしてみた。 多分これがplugin導入するよりも手っ取り早くて、一番強力な不正アクセス対策だと思います。

  1. wordpressにログインする。
  2. .htaccessファイルを編集・ファイルを更新

最初にwordpressにログインしておく必要があります。
※ログイン状態を保存するの部分はチェックしておく。

wordpressログイン画面
wordpressログイン画面

次にwordpressのルートディレクトリにある、【.htaccess】ファイルを編集。

これでwp-login.phpへのアクセスを全て弾いてくれます。

メリットは、ログインの試行回数(入力されたID・パスワードの送信のデータ送受信)が減ることでサーバーへの負担が減る事や、パスワードが漏洩しても、アクセス出来ないからログイン出来ない。plugin排除したら、アクセスログの処理も無くなる、サーバーに優しい。

数日の時間が経って、自分自身のログイン状態が解けた場合には、Deny from all部分をコメントアウトしてやり、ログイン、ログイン後にまたDeny from allを有効化すればいいだけなので、再ログインするのにも1分も手間がかからない。

複数人管理者が居る場合では不便だけど、一人でブログ運営している個人ブログだったら、これが最強のwp-login.phpへの不正アクセス対策だと思います。

この記事が気に入ったら
『いいね』しよう!


PAGE TOP