WordPressの管理画面への制限
を読んで、S3にStaticのHTMLを置いた方が楽なような気もしている。
でもなぁ〜色々とか考えると・・・・
ここで書かれている「CMSの管理画面へのアクセスを見直す」で書かれているどんなCMSであっても 管理画面へアクセス出来る人はできる限り制限 しましょう。は正しいと思う。
制限かけるのは不便なんだよなぁ〜
実際どれぐらいの不正アクセスがあるのか調べてから検討する。
可視化出来るのは嬉しいということで「Crazy Bone(狂骨)」を導入。
スクリーンショットによると良い感じではある。
様子を見るために数日間放置してみました。今日Loginしようとすると・・・Login出来ない・・・
かなり困った(x_x)
Crazy Boneを入れてからLogin出来なくなったのでそのPluginを外す。
サーバにLoginして とりあえず Crazy Boneのディレクトリをmvする。
これLogin権限のなかったら詰んでいた(-_-;;
Crazy BoneがおかしいではなくGoogle Authenticatorとの組み合わせが悪いような気がする。
ちょっとあとで調べてみよう。
次はAll In One WP Security & Firewallを入れてみる。
詳しくは「All In One WP Security & Firewall – WordPressのセキュリティ対策を一元管理できるプラグイン」
とりあえずこれで「Login Lockdown Configuration」をONにしてみた。
ブルートフォース攻撃であればrejectできるはずだしMailが飛んできてわかるはず。
1日回した見た結果を見ると・・・
もしユーザ名をadminにしている人は変更しましょう。
ユーザの個人設定でブログ上の表示名もユーザ名と一緒だとダメですね。
いやー勉強になる^^;;