HOME > WordPress > [WordPress] 管理画面へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」

[WordPress] 管理画面へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」

crazy bone(狂骨)は、WordPressの管理画面のログイン履歴を閲覧することが出来るプラグインです。ユーザー名、日時、IPアドレス、ユーザーエージェントなどを一覧で確認できます。

WordPressを使っているサイトはソースを見ればすぐわかるし、ログインページのURLが、http://あなたのサイト名/wp-login.phpで共通なので誰でもログインを試すことができちゃいます。

自分のサイトがブルートフォースアタックの的になっていないか「crazy bone」を導入してチェックしましょう。


ブルートフォースアタックとは・・・
ユーザーIDとパスワードを可能な組み合わせを全て入力して解読する暗号解読法。

2013年にはロリポップサーバーがサイト改ざんの被害にあったし、自分のサイトは大丈夫だろう、と高をくくっていると痛い目を見るかもしれません。(ロリポの件はブルートフォースアタック関係なかったけどね、、、しかし未だにタイトルがHacked by Krad Xinのままになってるサイトがけっこうあるけど、いいのだろうか。。。)

なので自分でできるセキュリティ対策はしておいた方がいいでしょう。

インストール方法

まずはインストール。
プラグイン > 新規追加 > 「crazy bone」でプラグイン検索。

「いますぐインストール」をクリックするとインストール開始します。

「プラグインを有効化」をクリック。これでOKです。

ログイン履歴を見てみよう

プラグインを有効化したら上部バーの右側に「こんにちは、ユーザー名さん!」って表示されているところがあるので、そこにマウスオーバーしてください。

するとユーザー情報がでてきます。一番下の「最終ログイン〜」をクリックするとログイン履歴ページへ移動します。

ログイン履歴ページでは、ログイン、ログアウト、ログインエラーの項目がズラーっと出てきますが、おそらく必要になるのはログインエラーの情報だけ。なので、ログインエラーだけフィルターかけて表示させましょう。

わたくしが、管理している別サイトのログインエラー一覧。
ページ数が13583。。1ページ20件だから、271660回も攻撃を受けておりました。
(集計期間:2013年8月13日〜2014年6月4日)古くて申し訳ない、、、(>人<)

試しに6月4日分だけ確認したら22,000回以上アタックされてる。やめてよ。。。

やはりadminで一番激しくやられてる。

ID:admin、パスワード:password、なんて設定してる人いませんよね。。。asdfgとかqwertyとかabc123なんてパスワードもダメっすよ。
パスワードを英数字+記号で8文字以上にしてるから、そうそう突破されることはないんだけど、秒単位で攻撃されてるとさすがにサーバー負荷がやばい、、、

adminでログインしてくる輩をシャットアウト

WordPressが起動する前にadminでのログインを拒否する方法があります。
wp-config.phpファイルの冒頭部分に、以下のコードを挿入してください。

adminから始まるユーザーID(admin、administrator, adminadminなど)を拒否できます。
これでサーバーの負荷も減るでしょう。

複数指定したい場合はこちら。「|」で区切って入力。

指定したユーザー名のみログイン許可する方法

しかし、admin以外でもかなりの数の攻撃をされています。
履歴を見てみると、user、tester、root、adm、support、abc123、qwertyなどのIDで試されていました。
なので指定したユーザー名のみログイン出来るようにしましょう。

以下のコードをwp-config.phpの冒頭に挿入。

この場合は、user_fire、user_ice、user_lightのみがログイン可能。その部分に任意のユーザー名を入れてください。

これで一通り設定できました。

ユーザーIDがばれてる?

最後に、、、
ログイン履歴を見てみると、公開していないのにユーザーIDでログインしようとしてるケースが何件かありました。
実はデフォルトでは、著者名は簡単に調べることが出来るんです。

続きは「Edit Author Slug」の回で。

ちなみに違うIPアドレスからログインすると↑こんなアラートが表示されます。

参考サイト

WordPress のログイン履歴を保存するプラグイン「狂骨」