wordpressのハッキング行為が継続中ということで、昨日の記事でアカウントセキュリティをアップさせる簡単な方法をご紹介しました。
で、今日このブログがアタックされているという内容のメールがプラグインから届きましたw。
ということで、さらにセキュリティ強化してみました。
Limit Login Attemptsプラグインからメールが届いた
今朝、メールを立ち上げるとこのブログの管理メールアドレスに1通メールが届いた。
本文には以下のように書かれてます。
うわ〜!
無くしたはずの「admin」アカウントで、9回ログインに失敗して3回ロックされてるって。
攻撃受けてますよ。
このブログ。
なので、さらに強化するため、新たにプラグインを入れてみる。
Better WP Securityプラグインを入れる
Better WP Securityプラグインは、昨日の記事よりもさらにもう一歩踏み込んだややこしい詳細なチェックと設定が可能です。
但し、このプラグインは入れる際にちょっとリスクがあるみたいです。
ネットで調べてみると、プラグインを入れて少し触っていたら、ブログが崩壊したなどとも書かれてあり、導入にもリスクありのようです。どうやら設定の際に、ディレクトリの書き換えなどを行うと他のプラグイン等々に影響を与えてしまい、ページを白紙にしたり、その他もろもろを崩壊させてしまったりするようです。
ですので、書き換え設定以外のところを設定してみようと思います。
インストール編
1. まずは、管理画面 > プラグイン > 新規追加 へ移動し、「Better WP Security」で検索
2. インストールをクリックし、インストールしてください。
あと、このプラグインを日本語化してくれ、その方法が書かれているページがあるので、「WordPress のセキュリティプラグイン Better WP Security を日本語化してみた」を参考に日本語化する。
(better-wp-security-ja.moファイルをダウンロードして、wp-content/plugins/better-wp-security/languages/ ディレクトリにアップする)
ここまでは特に問題無し。
3. プラグインを有効化し設定画面へ
設定編
すると、いろいろ聞かれます。
データベースをバックアップしますか? → はい をクリック。
wordpressのコアファイルの変更を許可しますか → 許可しないでクリック
基本的な設定をワンクリックで行いますか → 設定はすべて自分自身で行う
2つめと3つめの質問は、前述のwordpress崩壊の危険を回避するために許可しない設定にしました。
それが終わると、「システムの状態」というタイトルで、改善箇所がずらーりと表示されてます。
わりとセキュリティ面でダメ出しされていました(笑)
本当はこのシステムの状態の画像を見せたいのですが、どこがダメなのか見えてしまうとそこを狙われちゃうので、画像無しです。スミマセン
設定つづき
セキュリティ面でダメだしされた箇所には、「クリックして修正」のリンクが出てきますので、そこをクリックして、「wordpress壊れないかな…..」とドキドキしながら、各項目を設定していきました。
おかげで最初は半分ぐらい赤字でダメだしされていましたが、ほぼ緑色でOKもらえました。
崩壊することなく!
まとめ
このBetter WP Securityプラグインは先にも書きましたが、導入時にブログ自体を壊してしまう恐れもあるようで、気をつけて自己責任で設定してください。
私もドキドキしながら設定しました。
ひとまず、うまく設定でき、セキュリティ面もさらに向上したと思うのでちょっと安心しています。
でも、プラグインインストールして、設定している間もアタックされてるし….
やっぱり、ちょっと怖いなあ。