ログインのセキュリティ系プラグイン
「外部から5回間違えた例。」
ロリポップやCPIでの大規模攻撃の影響もあって、いそいそとサーバやWordpressのセキュリティ回りを見直し始めた今日この頃。
管理ユーザーをadminから変えるとか、最新バージョンを維持するとか、wp-adminにアクセス制限を掛けるとか、強度の強いパスワードを使うのはあたり前田のクラッカー。
プラグインで何か補強出来るものがあればと思い、いろいろ調べてみて二つばかり導入してみたので紹介しよう。
「Crazy Bone」
WordPress › Crazy Bone « WordPress Plugins
一つ目がクレイジーボーン(狂骨)。
制作者が日本人の方で、ログイン履歴を保存して表示することが出来る。
WordPress のログイン履歴を保存するプラグイン「狂骨」 | dogmap.jp
ログインした人のIPや環境が一発で分かるので、見ていて面白い。
上の図では3G回線からiPhoneでわざと間違えた例だが、ばっちり記録されていた。
WordPress › Simple Login Lockdown « WordPress Plugins
二つ目がSimple Login Lockdown。
ログイン時に連続で設定した回数を間違えると、設定した時間だけロックが掛けられるプラグイン。
狂骨が監視用のプラグインで、こちらが実際に止めることが出来るプラグインとなる。
「設定」>「表示設定」から設定が可能。
ただプラグインに入れて全て終わりではなく、二行目に書いたとおり基礎的な部分をしっかりとしておくことが大切。
そもそもこの記事に反するが、プラグイン自体信じ切って何でもポコポコ入れるのも推奨できない。
Wikipediaによれば、
8文字の大小英数字および記号を含むパスワード
高性能パーソナルコンピューターで23年間、コンピュータ・クラスターで2.25年間、スーパーコンピューターで83.5日8文字の大小英数字を含むパスワード
高性能パーソナルコンピューターで253日間、コンピュータ・クラスターで25.25日間、スーパーコンピューターで60.5時間6文字の大小いずれかの英字だけのパスワード
Pentium 100MHzのPCで5分間~8.5時間
とあるように、dogとか123456みたいなふざけたパスワードでもない限り、普通は突破されにくいのだから。
そもそも未知の脆弱性などは防ぎようがないし、それ以外は基本的にアップデートしていれば問題ないわけだがな。
このWordpressは個人用だからガンガンアップデート出来るっていうのもあるのだけどね、業務向けはデバックが大変だわ。
参考。
WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 | WP-D
WordPress の安全性を高める – WordPress Codex 日本語版