WordPressのログイン画面にBasic認証をかける

また最近、このブログにブルートフォースアタックが増えてきました。

ひとのブログに無差別に不正ログインしようとする攻撃のことなのですが、まったく何が楽しくてそんなことするんでしょうか。パスワードを破った時の達成感ですかね?

冗談?はさておき、パスワードを破られると犯人がこのブログを編集し放題になってしまいます。

  • 中身を勝手に書き換えられてしまう
  • 本当の管理者(ここの場合zuma)がログインできなくされてしまう
  • 見ただけでウィルスに感染するブログになってしまう
  • エロサイトにされてしまう
  • フィッシングサイトにされてしまう

など、ろくなことがありません。

そういうことしたいなら、勝手に新しくブログ作ってやればいいのに、と思うかもしれませんが、

  • もともとあるブログでそういうことしたほうがGoogleとかに検索されやすい
  • それまでこのブログとお付き合いしてくれた人たちを騙せる
  • 「人の作ったものをぶっ壊してやったぜ」の達成感?
  • そのブログに保管されているメールアドレスを盗んだりできる

不正アクセスを試みるにはそんな理由があるんじゃなかろうか。

 

いちおう、一定回数以上のアタックがあったらロックアウトしてくれるプラグインLimit Login Attemptsをインストールしてあるので、設定回数以上のログインを試みたひと(人じゃなくてプログラムかもしれんが)がいた場合でも問題はないはずですが、私は

人間がつくったもんを人間が破れないわけがない

と思っているので対策するに越したことはないわけでして。

wp-login.phpにBasic認証をかけて二段階認証にするのがいまんとこベストかなぁと思い、やってみました。

参考サイト様:ちょっと寄り道

Basic認証だと、パソコンでもスマホでもガラケーでも同じように動くので(まあ、ガラケーからアタックしようとする人はいないかもしれませんが)しばらくこれで様子を見ようと思います。

 

Share Button