WordPressの管理画面への制限

WordPressの運用上のセキュリティについて考えよう

を読んで、S3にStaticのHTMLを置いた方が楽なような気もしている。
でもなぁ〜色々とか考えると・・・・

ここで書かれている「CMSの管理画面へのアクセスを見直す」で書かれているどんなCMSであっても 管理画面へアクセス出来る人はできる限り制限 しましょう。は正しいと思う。

制限かけるのは不便なんだよなぁ〜
実際どれぐらいの不正アクセスがあるのか調べてから検討する。

可視化出来るのは嬉しいということで「Crazy Bone(狂骨)」を導入。

スクリーンショットによると良い感じではある。

様子を見るために数日間放置してみました。
今日Loginしようとすると・・・Login出来ない・・・

かなり困った(x_x)

Crazy Boneを入れてからLogin出来なくなったのでそのPluginを外す。

サーバにLoginして とりあえず Crazy Boneのディレクトリをmvする。

これLogin権限のなかったら詰んでいた(-_-;;

Crazy BoneがおかしいではなくGoogle Authenticatorとの組み合わせが悪いような気がする。

ちょっとあとで調べてみよう。

次はAll In One WP Security & Firewallを入れてみる。
詳しくは「All In One WP Security & Firewall – WordPressのセキュリティ対策を一元管理できるプラグイン

とりあえずこれで「Login Lockdown Configuration」をONにしてみた。

ブルートフォース攻撃であればrejectできるはずだしMailが飛んできてわかるはず。

User Login

1日回した見た結果を見ると・・・

もしユーザ名をadminにしている人は変更しましょう。
ユーザの個人設定でブログ上の表示名もユーザ名と一緒だとダメですね。

いやー勉強になる^^;;