今さら私が言うまでもないですが、多少使い勝手が悪くなったとしても、セキュリティー対策はしっかりやりましょう。
悪いことをする人たちは、私と違ってとても頭のいい人たちでしょうから、甘く見てはいけないですねぇ。
当サイトは立ち上げ時から「SiteGuard WP Plugin」を導入しています。
セキュリティ対策1:悪意のあるログインをブロック
SiteGuard WP Pluginの機能のひとつである、ログイン時の画像認証を設定しているのですが、
最近、画像認証が面倒になってきて、パスワードだけで十分だろうと考え、画像認証は外そうと思ったんです。
SiteGuardのダッシュボードを開くと、画面の一番下に「ログイン履歴」というのがあるんですが、
久しぶりに開いてみたらびっくり。
知らないユーザーIDのログイン失敗が、色々なIPアドレスから定期的に繰り返されてるんです。
ログイン失敗の履歴
当サイトは、2017年4月下旬に立ち上げました。
それから9月までの約5か月弱の履歴として、
・ログイン失敗 :92回
・ログイン ロック:8回
試されているログインID
・「author ID」、これが一番多く、昨日もやられてました。
・「admin」、次に多いのがこれ、お約束ですね。
・「111」、若干ですが、こんなのもありました。試されてるということは、使ってる人も多いということなんでしょうか?
画像認証はやっぱり必要
ログイン履歴を見て、画像認証を外すことはやめました。
パスワードを破られる可能性は低いと思いますが、多少利便性を犠牲にしても、しっかりガードして置くほうが安心です。
セキュリティ対策2:ユーザーIDのガード
ワードプレスのデフォルト状態では、author ID=ユーザーIDなので、ユーザーIDは直ぐに分かってしまいます。
Edit Author Slugプラグイン
私は、Edit Author Slugというプラグインで、author IDを任意の名前に変更しています。
一番多い悪意のあるログインも変更したIDが使われていました。
セキュリティーは悪い人たちとの、イタチごっこですが、自分の身は自分で守らないとですね。
以上、最後までご覧頂き、ありがとうございました。