WordPressのセキュリティ対策っていろんな所で書かれていて、いろんなプラグインが紹介されているけどウチではこの後紹介する2つのプラグインしか入れていません。ぶっちゃけ、プラグインは必要最小限にとどめておいた方が安心安全ですからねぇ。と言う事で、名付けて「セキュリティの専門家が入れいているセキュリティ対策プラグイン!」の始まり始まり〜。
一つ目は、「Crazy Bone (狂骨)」です。
これは何をするプラグインかというと、ログイン/ログアウトの記録を取るプラグインです。もちろん、成功/失敗にかかわらず全記録をとってくれるので、不正アクセス(ログイン試行)の状況が判ります。まぁ、ただそれだけのプラグインと言えばその通りなのですが、例えば存在するユーザーに対してのログイン試行があれば「やがて突破される」可能性を認識する事が出来ますし、そういうのがなければ安心していられるという、一種の安定剤的なプラグインと言っても良いでしょう。
ウチでは、不定期に(だいたい1週間に一度くらい)記録を確認しています。
二つ目は「Edit Author Slug」です。
WordPressのユーザーに関して良く言われるのは「admin」のような旧デフォルトユーザーは使わない方が良いと言う事なのですが、実は任意のユーザーを作ったとしてもユーザー名が外部に対してオープンになってしまうので、意味のない事なのです。これは、作ったユーザー名を見かけ上隠蔽しても「http://example.jp/author/ユーザー名/」という形でアドレスが生成されてしまう為に丸見えになってしまう為なんですねぇ。
これを使う事で「http://example.jp/author/ユーザー名/」のユーザー名の部分を編集する事が出来るので、真のユーザー名を隠蔽する事が出来るのです。従って、ありがちじゃない任意のユーザー名を付けておいて、このプラグインで表に露呈するユーザー名を隠蔽しておけば、真のユーザー名を使った不正アクセスを無くする事が出来ます。
実際、先に紹介した「Crazy Bone」でログイン試行の状況を確認していますが、真のユーザー名のでログイン試行は皆無です。実はこれを入れる前には頻繁にあったのですが、これを入れてからは本当に皆無になりました。もちろん「admin」のようなユーザー名での試行や、このプラグインで付けた偽のユーザー名での試行はありますが、実害はありませんので放置です。
以上、2つのプラグインさえ入れておけばログインページのアドレス変更みたいな余計な事をしなくても、ある意味安全に使う事が出来るのです。どうです?他では何種類ものプラグインを入れておけって書かれてますけど、たった2つで済むなら、こんな楽な事はないでしょう。何でもシンプルに行くのが良い方法なのです。
コメント