Xserverを利用しているので、(特に海外からの)セキュリティは高いのですが、国内からの攻撃に対抗しようと思うと、少々面倒だなと感じる事があります。
管理ゾーンへのアクセスは、指定IP以外を弾く方法などありますが、色んな場所や手段でログインする関係で設定してませんし、逆に指定IPを弾く設定をしようと思うと、ログイン履歴しょっちゅう確認しながらIP指定する必要があるみたいで、面倒の極みでやる気がおきません。
そこでログイン周りのセキュリティプラグインを探したところ、いい具合にログイン関係に特化した国産プラグイン SiteGuard WP Plugin を見つけました。
プラグインのインストール
[SiteGuard WP Plugin]で検索してインストールして下さい。
設定状況の確認
ダッシュボードの[SiteGuard]を選択すると、設定状況の一覧が表示されます。
国産なので、当然日本語での説明があります。また、もはや当サイトで説明する必要は無いレベルで、ヘルプが解りやすいです。
なので、細かい説明は公式サイトをご覧ください。
使っている機能
- 画像認証
- ログイン詳細エラーメッセージの無効化
- フェールワンス
- (ログイン履歴)
画像認証
ひらがなを4文字入力するボックスが表示されます。
ログイン詳細エラーメッセージの無効化
ログイン失敗時のエラーメッセージを、ユーザー名・パスワードどちらの違いなのかを表示しなくなります。
パスワードが違いますだと、ユーザー名は合っているのがバレますしね。
フェールワンス
1回目のログインは何がなんでも失敗扱いになります。
ログイン履歴
たまに確認してみたくなって見る程度。1万件の履歴を保持するみたいですが、件数を設定する場所も削除する機能も見当たりません。
数百件になった時点で、データベースから直接削除してますけどね。
使っている機能を複合させたらこうなった
・IDとパスと画像認証を入力し、ログインボタンを押す。とりあえずエラーで弾かれる。
「はいはいフェールワンスね、面倒だけどセキュリティのためだし」
・再度IDとパスと画像認証を入力し、ログイン。そこでまさかのログインエラー発生!
・慎重にIDとパスと画像認証を再入力するもログインエラー!
IDとパスのどちらが間違っているのかさえ不明!
ヤバい!サーバーで設定したログインロックがかかるかも!
・ヒヤヒヤしながら再入力で何とかログイン成功。
履歴画面で確認したら、フェールワンス→失敗→フェールワンス→成功になってた。
自分でもここまで面倒な事になるんだから、ログインセキュリティはオッケーなんだろう、きっと、うん。