WordPress　不正アクセスとの飽くなき戦い

不正アクセス・・・それはWEB黎明期から行われてきた悪しき犯罪。

これらと日々戦う者達がいた。

はーい、俺ちゃんです☆（軽い）

さて、不正アクセス嫌ですねえ。

何が嫌かって、乗っ取られたらサイトがウィルスばら撒くじゃん？

ばら撒いたらまた感染者が不正アクセス攻撃かけるじゃん？

ねずみ講みたいなもんですよ・・・。さあ、大変。

WordPressの不正アクセスはほとんどがブルートフォースアタックと相場が決まっております。

要するに感染したBOTと呼ばれるウィルスでゾンビ化したPCが力技でこじ開けてくるというシロモノが多いのです。

んで、「そんなこと言って本当に来てるの？」っていうすこ～し平和ボケなあなたに弊社のお客様事例を・・・。

めっちゃきてるやん！

ゲームでたとえるなら、バイオハザード状態？

ウィルスに感染したPC達が襲ってくる様子（擬人化）

さて、冗談はさておき・・・実際にはadmin、root、ドメイン名などをユーザー名に当てはめた総当たり攻撃が来ています。
皆様、Wordpressの管理者ユーザー名は間違ってもこの3パターンはナシの方向で。

ウチは全部ユーザー名変更済みですので、「当たらなければどうということはない！」と余裕を見せつけております。

しかしながらあまりにも攻撃が多かったので、後日お客様に許可をとって国外IPからのWordpressログインをハネるようにしました(｡･ω･｡)

検知＆ガードは下記のプラグインを使用しています。

Limit Login Attempts
https://wordpress.org/plugins/limit-login-attempts/

Limit Login Attempts日本語化
http://fukuyama.co/limit-login-attempts-ja

ログイン失敗したIPを検知し、指定回失敗した場合指定時間ロックアウト（出入り禁止）にするプラグインです。

ウチは3回失敗で6時間ロックアウト、3セットロックアウトで72時間ロックアウトという若干厳しめ設定でございます。

皆様、他の皆様に迷惑をかけないよう、せめて上記プラグイン位は入れておきましょう。
もちろんパスワード8桁以上、できれば12桁以上でよろしくおねがいします！
ちなみにCPIのWordpress自動インストールははじめからこれが入っていてとても優秀です(｡･ω･｡)
CPIいいですよ？良かったらこの機会に乗換えてみては？

2016/01/22追記：

ほんっと不正アクセスって諦めが悪いですね（botだから当然か・・・）

プラグインで弾いているのはわかってるんですが、あんまりにもログを増やしていくのでログに残ってるIPを直接指定して.htaccessで弾くことにしています。

これで攻撃すら出来ずにbotは帰っていくものと思われます。（陳腐な言い方をするとIP指定でバリアーを張ったようなものです）

この.htaccessの編集の仕方はこちらの記事で書いております(｡･ω･｡)