wordpressは人気の高いCMSなのだが、それゆえに不正アクセスなど攻撃されやすいCMSでもある。
セキュリティ対策として、「Limit Login Attempts」というwordpressのログイン試行回数を制限できるプラグインを入れていた。
→「Limit Login Attempts」解説サイト
そのプラグインのログを見ると、某弱小運営サイトで何度もアクセスを試みられていて、怖いのは、既にアカウントが割れてしまっていたのだ。もちろん、「admin」なんて一般的に使われるものは使っていない。すぐにパスワードをさらに桁数を増やしたのだが、なんだか不安だ。
別のサイトでは、Jetpack内にある「プロテクト」を利用している。世界中ののWordPressサイトのクラウドを利用して、悪意のあるIPアドレスを識別・ブロックしてくれるという優れもの。時間が経つほど精度が上がっていくのだ。
→Jetpack「プロテクト」解説サイト
こちらも不正アクセスを試みられているのがわかった。
「プロテクト」は悪くなさそうだけど、もうちょっとセキュリティ対策をしようか。
そう思って、ログインページのアクセスをIPで制限することにした。
→「wordpressログインページのIP制限」解説サイト
今までIP制限をしなかったのは、自分のネット環境がいつ変わるか分からなかったし、いざ変わるときはきっとバタバタしているので、この辺りを修正するのが面倒だろうと思ったからだ。でも、最近の攻撃数の多さを考えるとそんなことも言ってられなくなった。
というわけで、現在行っているセキュリティ対策は、上記の、ログインページのIP制限と、Jetpack「プロテクト」(念のため)、他にFTPアクセスのIP制限をやっている。