WordPressはポピュラーで無料のブログCMSツールなので、ログインURLのアドレスが簡単に推察されるため、無作為にユーザー名やパスワードを入力してサイトにログインできる状況を探るブルートフォースアタックの対象となる場合が多いですね。
かくいう私のサイトもこのプラグインを入れて経過観察したら知らない国からログインしようとした形跡がいっぱいありました。
幸いパスワードエラー(パスワード不一致)でログインされて何か・・・ということはありませんでしたが、やっぱり気持ちのいいものではないですね。
【Crazy Bone】プラグインの基本的な機能・できること
どこからログインしているかを知るWordPressプラグイン 「Crazy Bone」は、いつ、どこの国のどこのIPアドレスからログインしようとしたか、ログインしたかが分かるプラグインで、ログインの履歴を一覧で見ることができます。
インストールは簡単!!「Crazy Bone」で新規検索して導入するだけです。
普通にログイン後、管理画面右上にある「こんにちは ○○さん」へマウスを持って行くと、最終のログイン状況が表示され、そこをクリックするとログインした履歴、ログインに失敗した履歴などを時系列の一覧で見ることができます。
ログインしたことのない場所からのアクセスや、エラー項目に表示のあるものは、自分や共同でログインして作業する人以外からのアクセスの可能性が高いので、注意するとともに対策が必要です。
本記事を参考にWordPressサイトへプラグインの導入を検討される方へ
WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。
さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。
そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。
本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。
- テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能や日本語対応の状況などが異なる場合があります。
※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。 - プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
- このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
- プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)
【Crazy Bone】プラグインの設定画面や表示の日本語化と翻訳
【Crazy Bone】プラグインは設定項目が少ないので特に必要ないと思います
【Crazy Bone】プラグインのインストールと設定
インストール方法
インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。
WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。
【Crazy Bone】プラグインの基本的な使い方
ログインやログイン失敗の履歴はダッシュボードの上部管理バーの右上にある「こんにちは、〇〇さん」をマウスオーバーして表示される画面中の「最終ログイン・・・」というところをクリックすると一覧が出てきます。
ユーザーごとのログイン状況やログイン失敗状況、ユーザーとして登録のないものの情報なども見ることができます。
不正にログインしたりログインしようとした形跡があったらサーバー上または「wp ban」などのプラグインを使ってアクセス拒否すればOKです。
【Crazy Bone】プラグインの便利な使い方・カスタマイズ方法など
より便利に使うカスタマイズ技やテストサイトで使用した結果や感想、WordPressのプラグイン公式配布ページには書かれていない事柄などを紹介します。
まずは類推されるユーザー名をなくす工夫をしましょう
「Crazy Bone」はどこからアクセスしたのか、どんなログイン、またはログイン失敗があったのかが簡単に分かるプラグイン。実際に導入してみると、類推されやすいユーザー名による失敗が多くあることが分かります。
まずはWordPressのインストール時に自動で設定される「admin」というユーザー名。これで運用している人も多いと思います。前述したとおり、WordPressはすごくメジャーなCMSなのでこのユーザー名を残しておくことは大変危険です。すぐに別の管理ユーザーを登録して「admin」は削除しましょう。
それから、これはあまり知られていないようですが、WordPressでは作者ごとの記事一覧(author archive)というのを作成する機能があり、自動で作者別の投稿履歴が表示できるので便利なのはいいのですが、実際に見てみると、アーカイブページのURLにユーザー名がバッチリ表示されているではありませんか!!これも当然対処が必要です。
とはいえソースをカスタマイズするには技量が必要なので、これもプラグインに頼るとすぐに対処できます
というプラグインです。
不正アクセスが見つかったときにアクセス拒否するためのプラグインを併用しましょう
このプラグインだけではログイン画面へのアクセス状況は確認できてもその後の対策ができないので、
というアクセス制限プラグインを併用して不正なアクセスを防止するようにしましょう。
ただし、アクセス制限をかける際には絶対に自分がアクセスしたIPアドレスなどは含まないようにしてくださいね。管理画面にアクセス不可能になりますから・・・。
自身の経験を踏まえ、Wp Banを使って自分がアクセス不可になってしまったときの対処方法を記事にしました。困ったときの参考にしていただければ幸いです。
以上、「Crazy Bone」があまりにも簡単なプラグインなので余談が多くなりました。「Crazy Bone」に関する情報については以下を確認ください。
ポチップ
ポチップ
