【2023年9月19日追記】
「Crazy Bone」プラグインは2022年1月26日に公開が終了しています。
今後は、代替となるプラグインとして「User Login History」や「SiteGuard WP Plugin」を利用することを推奨します。
===以下、古い情報です===
世界で最も普及しているCMSである「WordPress」ですが、利用者の多い反面、悪意のある人からの攻撃目標にされる機会も非常に多いです。
今回紹介するプラグイン「Crazy Bone」はWordPressにログインを試みているユーザーの時間、ID、IPアドレス、ユーザーエージェントなどの情報のログを記録し、管理画面で閲覧できるようにしてくれるプラグインです。
不正アクセスを試みたIDやアクセス元のIPアドレスを分析することで、不正アクセスの兆候を検知できます。WordPressのセキュリティを強化したい方は、ぜひこの記事を参考にして導入してみてください。
Crazy Boneの管理画面サンプル
まずは、不正なアクセスがどのように表示されるのかサンプルを表示します。
画像では中国から「admin」というIDで不正なログイン試行が表示されています。当然ですが、ユーザー名に「admin」を使うのはWordPressのご法度なので、当ブログでは使用していません。
そのため、ステータスに「invalid_username」と表示されていますね。これは存在していないIDでログインを試みた時に記録されるログです。
それでは、crazy boneの具体的な使い方について紹介します。
Crazy Boneの導入方法
Crazy BoneはWordPressの管理画面からインストールすることができます。プラグインの新規追加ページを開き、「crazy bone」と検索します。
検索結果から「crazy bone」を選択し、「いますぐインストール」ボタンをクリックしてインストールします。
インストールが終わったら、「有効化」ボタンをクリックし、プラグインを有効化しましょう。これでWordPressにCrazy Boneをインストールすることができました。
Crazy Boneの使い方
このプラグインは特に使い方や設定が必要なわけではありません。インストールを完了した瞬間から動作します。具体的なログイン履歴を見るための画面へは、サイドバーメニューの「ユーザー」から「ログイン履歴」というメニューをクリックすることで見る事ができます。
ログイン履歴のページではログインを試みたIDやステータスによるフィルタリングをすることができます。
Crazy Boneのまとめ
非常に便利なプラグインである「Crazy Bone」ですが、このプラグインでできることはあくまでも、「ログインの履歴を記録する」ということだけです。
当然ですが、悪意のある人の侵入を防御するという機能はありません。セキュリティに関しては、
・ユーザー名にadminという文字列は使用しない
・パスワードはある程度の桁数を持たせ、推測されにくい文字列にする
などの基本的な設定が必要になります。まずは基本的な事をしっかりやったうえで、このプラグインで第3者のログイン状況を確認することが重要です。
もし大量のログインエラーが発見できたら、まずはパスワードを強固な物にするなどの対策を取るようにしましょう。
