先日、ServersMan@VPSのスペックアップが終わってから、メモリに余裕ができたのでwordpressのセキュリティを再点検しています。これまでも必要最低限の対策はしてきていたつもりだったのですが、より管理・対策が楽なソリューションを探していたら、こんなプラグインを見つけました。
「Wordfence」
オフィシャルサイト/wordpress.org内プラグインページ
wordpressにプラグインとして追加できるセキュリティ関連のモジュールで、以下の機能を持っています。
- ウイルスやマルウェア、トロイの木馬などに感染したコア、テーマ、プラグインファイルを修復
- 感染したファイルのリストアップや修復手順の提供
- 投稿したエントリーやコメント、プラグインのリアルタイムスキャン
- クローラーやbotとユーザーアクセスの区別
- DNSの逆引きやトラフィックの詳細情報の提供
最初の機能は、インストールされて実際に動いているコアやテーマ、プラグインとリポジトリ上にあるデータの比較を行なって改変が行なわれていればそれを通知、クリック1つでオリジナルファイルに戻せるという機能です。独自にphpをいじったり、カスタマイズしている場合には使えなかったり、使うと先祖返りしてしまったりするので注意が必要ですが、そのまま使っている場合には安心できます。
3つ目までの機能はボタン1つで確認ができ、その後もマウスでクリックするだけで済みます。
4つ目以降は、ダッシュボード上で「リアルタイム」にアクセス状況を確認できる点がメリット。最新のアクセス状況のモニタリング機能だけで、フィルタを使ってログを抽出したりはできませんが、必要充分の機能だと思います。IPアドレスからDNSを逆引きして国名・都市名まで表示してくれます。
リアルタイム監視のためにサーバのメモリを10M~18MBほど食いますが、これらの機能だけなら無料で使用できるという点が大きい。さらに、年間18ドルほど払ってProのライセンスを取得すれば、国別のアクセス制限をかけることもできたりします。
しばらく前からLast Referrerにロシアのurlが残っていることが多くて気になっていたのですが、wordefenceを利用すると、うちの場合はとにかくadminなどの管理ユーザーをターゲットとした総当たりの不正アクセスが多いことが分かりました。詳細データは取っていないのですが、多いときは1時間に50回以上。ロックアウトされたIPアドレスは300件遡ってもその日のものでした(汗)
これら「存在しない管理ユーザー」を即時ロックアウトするのも、wordefenceならば設定を開いてチェックボックスにチェックを入れるだけ。ボットネットからの不正アクセスはIPアドレスをいちいち拒否していてはキリがないのでこういう場合非常に助かります。もちろん手動でのアクセスブロックも可能なので、特に目に付いたIPアドレスをブロックリストに放り込むことも可能です。
文字ばかりになりましたが、2年以上更新されていないLogin Lock Downプラグインを今さら導入するよりもよっぽど安心できると思います。機能も多いしね。
惜しむらくはメッセージが日本語化されていないことですが、それほど難しい英語ではないので読んでいけば何となく理解できると思います。
「不正アクセス対策。」への1件のフィードバック