このプラグイン「Crazy Bone」は2020年6月現在、5年以上メンテナンスされていません。類似の機能をもつ下記記事のプラグインをお試しいただけます。

2020.06.20

2020.06.23

不正なアクセス元を特定する。サイトへのログイン履歴を管理できるプラグイン「User Login History」

万が一悪質なユーザーに標的にされてしまい、あなたのサイトが不正にアクセスされたとしましょう。 その時、あなたが運営するサイトにユーザーのアクセス履歴などを記録する機能があれば、不正ログインに対する対策の幅が広がりますよね。ただ、デフォルトのWordPressではこういった機能は用意されていない...

WordPressは、オープンソースのため、カスタマイズが自由に行えたり、様々なプラグインが用意されているというメリットともに、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。その為、WordPressを利用する時には、セキュリティ上の問題を軽視せず、対策を取って行く必要があります。以前、「最低限これだけはしておこう!WordPressのセキュリティを強化する5つの方法。」という記事を書きましたのでこちらも参考ください。

ただし、どれだけ対策していても未だに、ブルートフォースアタックなどでサイトを書き換えられたという記事を見かけます。

ブルートフォースアタックで感染した|まろらぼ
WordPressブルートフォースアタック対策|ねんでぶろぐ

ブルートフォースアタックとは簡単にいうと、ID とパスワードの組み合わせを片っ端から総当たり式に試し、攻撃をするというハッキング方法です。特に WordPress 3.0以前はデフォルトの管理ユーザー名が「admin」だったので、admin というIDのユーザーがいると想定してそれに対して大量の総当たり攻撃を仕掛けている事が多く有りました。

不正アクセスはどれだけIDやパスを工夫していても、防ぐ事はできませんので、本日は不正アクセスがどれくらいきているかを調べることにも便利なログイン履歴管理プラグイン「Crazy Bone」を紹介します。

Crazy Boneの特徴

「Crazy Bone」はログイン履歴を記録し、それを確認できるプラグインです。ログインに成功した履歴とログインに失敗した履歴を記録することができます。その他にも以下の特徴があります。

  • ログイン履歴を記録・閲覧出来る
  • ログイン履歴にログインエラーの履歴が記録される
  • 第三者のIPアドレスから接続があった場合、ダッシュボードに警告が表示され、自分(管理者)以外の別のユーザーがログインしたことがわかる
  • IPアドレスから接続元の国が分かる。
  • 接続されたIPアドレスのユーザーエージェントから使用しているOSやWebブラウザがわかる

「Crazy Bone」のインストール

管理画面から「Crazy Bone」を検索してインストールして下さい。
CB01

もしくは、下記のサイトからプラグインをダウンロードし、wp-content/pluginsディレクトリにインストールしてください。
CB02

Crazy Bone

※以前からCrazy Boneを使用されていた方は、ワードプレスフォーラムでも報告されているように、XSSの脆弱性がありました。現在の「Ver0.6.0」にアップデートされることをおすすめします。

Crazy Boneの使用方法

「Crazy Bone」はプラグインの設定などは不要でインストールするだけで使用することができます。

ログイン履歴の管理場所

ログイン履歴は、ユーザーの設定画面にあります。
WordPress管理画面 → ユーザー → ログイン履歴

ページを開くと、「ログインの可否」「IPアドレスと国」「使用されたブラウザ」「エラーの内容」が表示されます。不正アクセスをチェックするには、ログイン履歴のしたにあるドロップダウンの項目より「login error」を選択し「フィルターを適用」をクリックしてください。
CB05

弊社サイトでもアメリカやウクライナ、ドイツからの不正アクセスがありました。確認すると、「admin」や「administrator」というログイン名で入ろうとしているのがわかります。

ログイン履歴
CB06

ログイン履歴の警告

もしWordPress管理画面に別のIPアドレスからログインがあった場合には、WordPress管理画面の右上に警告が表示されます。
CB03

不正アクセスが合った場合の対策

弊社サイトに「admin」という名前のユーザーは存在しておりませんし、パスワードも複雑なのでログインがされる事はありませんが、やはりユーザー名が「admin」になっててシンプルなパスワードを使ってる場合は大量の攻撃をうけると、突破されてしまう可能性はあります。そのため最低限以下の2つはしておきましょう。

  • 管理ユーザー名をadmin以外にする
  • パスワードは長く複雑なものにし、定期的に変更する

まとめ

WordPressは非常に便利ですが、セキュリティー対策を自身で行う事は必要です。今回紹介しましたCrazy Boneによって、ログイン履歴を確認できるので悪意あるユーザーによるハッキングなどは発見しやすくなるかと思います。また、誤解があるかもしれませんが、WordPressがセキュリティーに弱いということではなく、どのようなシステムでも同様のハッキングはあり得ます。大事なのは自分の大切なサイトは自分で守るという意識です。自分に限っては大丈夫ではなく、サイト作成する際の最初にしっかり対策をしておきましょう。

またこちらのプラグインの一部の機能に加えて、その他の機能も充実しているプラグインを下記記事にて紹介しております。よろしければ、ご覧くださいませ。

2019.07.16

2024.06.11

WordPressのセキュリティ対策がたった1つのプラグインで出来てしまう「SiteGuard WP Plugin」

2020/05/02*情報を更新いたしました。 WordPressはシェア率の高いオープンソースのソフトウェアであるがゆえに、セキュリティが脆弱だと言われることがあります。ただ、実際のところはWordPress以外のCMSが自社のCMSを普及させたいがための「ウリ文句」であることは、WordP...