WordPressのユーザー名、「admin」と「ドメイン関連名」が危険というのは、本当だった 【Limit Login Attemptsの導入の薦め】

  • 投稿 : 2013-07-30

不正ログイン攻撃


管理画面は、海外からのアクセスははじいてるのですが、それでも、adminとドメイン名?で不正ログインした形跡が残ってました。
どちらのユーザーも特に使ってはいないので、ログイン自体できないのですが・・・。

IPひろば:メイン

IPを上記のところに入力して、どのあたりからのアクセスかをみてみても、日本っぽいんですね。うーん。

不正ログイン攻撃への対策

Limit Login Attempts
http://wordpress.org/plugins/limit-login-attempts/

このプラグインを導入すると、設定した条件でログインロックしてくれますし、ロックされた時のIPなども記録してくれます。

導入するときは、自身がログインできなくなると困るという心配をしていたんですが、そのリスクがあっても導入したほうがよさそうというのが現時点の感想です。最悪、DBで設定値?をクリアすればよさそうに思うので・・。

日本語化

Limit Login Attemptsの日本語化をしてみた

設定


初期値のままで使用しています。
IPログに書き込みにチェックで、この設定画面でロックされた時のログが見られるようになると思います。

日時も表示されるとありがたい気もするのですが、理由はわかりませんが表示はされませんね。

その他

WordPressの管理画面へのアクセスを国内だけに制限する 【wp-admin】
WordPressへの不正ログインから守るためのプラグイン「パスワードロックと二要素認証」

状況

WordPressクリエーターのマット・ムレンウェグ氏は12日に自身のブログで、「いまだに『admin』のユーザーネームを使っている場合はこれを変更し、強固なパスワードを使うように」と勧告。
デフォルトユーザー名の変更やパスワード強化を推奨:標的は「admin」のユーザー名、WordPressを狙う攻撃激化 - @IT

2013年04月ごろから、この手の記事を多く見かけるようになった気がします。

スポンサーリンク