WordPressをハッカーから守ろう!!ログイン履歴管理プラグイン「Crazy Bone」

2016

5.27

WordPressは、オープンソースのため、カスタマイズが自由に行えたり、様々なプラグインが用意されているというメリットともに、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。その為、WordPressを利用する時には、セキュリティ上の問題を軽視せず、対策を取って行く必要があります。以前、「最低限これだけはしておこう!WordPressのセキュリティを強化する5つの方法。」という記事を書きましたのでこちらも参考ください。

ただし、どれだけ対策していても未だに、ブルートフォースアタックなどでサイトを書き換えられたという記事を見かけます。

ブルートフォースアタックで感染した|まろらぼ
WordPressブルートフォースアタック対策|ねんでぶろぐ

ブルートフォースアタックとは簡単にいうと、ID とパスワードの組み合わせを片っ端から総当たり式に試し、攻撃をするというハッキング方法です。特に WordPress 3.0以前はデフォルトの管理ユーザー名が「admin」だったので、admin というIDのユーザーがいると想定してそれに対して大量の総当たり攻撃を仕掛けている事が多く有りました。

不正アクセスはどれだけIDやパスを工夫していても、防ぐ事はできませんので、本日は不正アクセスがどれくらいきているかを調べることにも便利なログイン履歴管理プラグイン「Crazy Bone」を紹介します。

Crazy Boneの特徴

「Crazy Bone」はログイン履歴を記録し、それを確認できるプラグインです。ログインに成功した履歴とログインに失敗した履歴を記録することができます。その他にも以下の特徴があります。

  • ログイン履歴を記録・閲覧出来る
  • ログイン履歴にログインエラーの履歴が記録される
  • 第三者のIPアドレスから接続があった場合、ダッシュボードに警告が表示され、自分(管理者)以外の別のユーザーがログインしたことがわかる
  • IPアドレスから接続元の国が分かる。
  • 接続されたIPアドレスのユーザーエージェントから使用しているOSやWebブラウザがわかる

「Crazy Bone」のインストール

管理画面から「Crazy Bone」を検索してインストールして下さい。
CB01

もしくは、下記のサイトからプラグインをダウンロードし、wp-content/pluginsディレクトリにインストールしてください。
CB02
Crazy Bone

※以前からCrazy Boneを使用されていた方は、ワードプレスフォーラムでも報告されているように、XSSの脆弱性がありました。現在の「Ver0.6.0」にアップデートされることをおすすめします。

Crazy Boneの使用方法

「Crazy Bone」はプラグインの設定などは不要でインストールするだけで使用することができます。

ログイン履歴の管理場所

ログイン履歴は、ユーザーの設定画面にあります。
WordPress管理画面 → ユーザー → ログイン履歴

ページを開くと、「ログインの可否」「IPアドレスと国」「使用されたブラウザ」「エラーの内容」が表示されます。不正アクセスをチェックするには、ログイン履歴のしたにあるドロップダウンの項目より「login error」を選択し「フィルターを適用」をクリックしてください。
CB05

弊社サイトでもアメリカやウクライナ、ドイツからの不正アクセスがありました。確認すると、「admin」や「administrator」というログイン名で入ろうとしているのがわかります。

ログイン履歴
CB06

ログイン履歴の警告

もしWordPress管理画面に別のIPアドレスからログインがあった場合には、WordPress管理画面の右上に警告が表示されます。
CB03

不正アクセスが合った場合の対策

弊社サイトに「admin」という名前のユーザーは存在しておりませんし、パスワードも複雑なのでログインがされる事はありませんが、やはりユーザー名が「admin」になっててシンプルなパスワードを使ってる場合は大量の攻撃をうけると、突破されてしまう可能性はあります。そのため最低限以下の2つはしておきましょう。

  • 管理ユーザー名をadmin以外にする
  • パスワードは長く複雑なものにし、定期的に変更する

まとめ

WordPressは非常に便利ですが、セキュリティー対策を自身で行う事は必要です。今回紹介しましたCrazy Boneによって、ログイン履歴を確認できるので悪意あるユーザーによるハッキングなどは発見しやすくなるかと思います。また、誤解があるかもしれませんが、WordPressがセキュリティーに弱いということではなく、どのようなシステムでも同様のハッキングはあり得ます。大事なのは自分の大切なサイトは自分で守るという意識です。自分に限っては大丈夫ではなく、サイト作成する際の最初にしっかり対策をしておきましょう。

関連記事

Wordpress使い方大全集

過去アーカイブ