不正アクセスは、他者の「ログイン情報」を知ることができれば、ある程度の防止策を講じることができます。
WordPressのログインページは以下のURLで共通しています。
- https://ドメイン名.com/wp-admin/
- https://ドメイン名.com/wp-login.php/
そのため、これらのログインページは攻撃に会いやすいページです。
これらのページにログインしてきた訪問者のアクセス日時、IPアドレス、ブラウザー、エラー、ログイン履歴を取得することができるプラグインが「User Login History」です。
今回は、WordPress入門者の方向けの使いやすいプラグイン「User Login History」の説明を行います。
User Login Historyとは
ログインページに対する攻撃として多いのはブルートフォース攻撃やパスワードリスト攻撃です。
幸い、これらの攻撃は攻撃者の情報を知ることができれば、それらの情報を元にIPアドレスの制限やパスワード、ユーザー名の見直し等の処置を行うことで未然に不正ログインに対処することができます。
不正アクセスの有無を知るために、ログインしてきた訪問者のアクセス日時、IPアドレス、ブラウザー、エラー等の情報を知ることは重要です。
それらの各情報の一つ一つを知ることのできるプラグインが「User Login History」です。
総当たり攻撃と呼ばれるサイバー攻撃です。例えば、3桁のパスワードであれば000から999までの全ての組み合わせをプログラムを組むことでコンピューターで自動的に正解に辿り着くまで行います。数を撃てばいずれは正解に辿り付き、シンプル、且つ、正確な方法です。
他者から入手したリスト、パスワードの組み合わせを利用して不正にログインしようとする試みです。ID、ユーザー名、パスワードは同じ情報を利用される方が多いため、他サービスで利用される情報を元に、同じ情報でログインする方法です。
User Login Historyのインストール
BackUser Login Historyのインストール手順は以下の通りです。
- 左メニュー「プラグイン」から「新規追加」を選択
- 検索ボックスに「User Login History」を入力
- 項目「今すぐインストール」をクリック
- 項目「有効化」をクリック
すると、左メニューの「設定」に「User Login History」項目が追加されます。
この項目でUser Login Historyの各設定を行います。
まずは、User Login Historyのインストール手順を順に解説していきます。
左メニュー「プラグイン」から「新規追加」を選択
左メニュー「プラグイン」から「新規追加」を選択します。
検索ボックスに「User Login History」を入力
検索ボックスに「User Login History」を入力し、検索します。
項目「今すぐインストール」をクリック
項目「今すぐインストール」をクリックします。
項目「有効化」をクリック
右上の「有効化」をクリックします。
これで、User Login Historyのインストールは完了です。
User Login Historyの使い方
User Login Historyでアクセス者の履歴を確認するには、
- 左メニューの「User Login History」
- 項目「Login List」
で確認することができます。
項目「Login List」にアクセスすると以下のような画面になります。
メニュー内のそれぞれの意味を解説していきます。
メニュー(上部)
メニュー(上部)では、
- メニュー(下部)内のソート
- アクセス情報のダウンロード
- タイムゾーンの設定
を行うことができます。
項目「DOWNLOAD CSV」をクリックするだけで、メニュー(下部)のアクセス者の情報をCSVファイルでダウンロードすることができます。かなり、便利な機能です。
また、自分のタイムゾーンを選択する場合は「EDIT」をクリックすることで、WordPress左メニュー「設定」に移動することができます。この設定に関しては操作する必要はありません。
メニュー(下部)
メニュー(下部)では、ログインページからログインを試みたユーザーの情報が表示されます。
メニュー(下部)の項目の意味は以下の通りです。
- User ID:ユーザーID
- Username:ユーザー名
- Role:現在の権限(管理者・購読者など)
- Old Role:過去の権限
- Browser:ブラウザの種類(Chrome・IEなど)
- Operating System:OSの種類(Windows・Linuxなど)
- IP Address:IPアドレス
- Time Zone:タイムゾーン
- Country:国
- User Agent:アクセス環境(スマホ・パソコンなど)
- Last Seen:最後にアクセスした時間
- Login:ログインした日時
- Logout:ログアウトした日時
- Login Status:現在のログイン状況
かなりの情報量を取得してくれます。
後々、設定の項目で重要になるのは、「Last Seen」、「Time Zone」、「Country」の3つです。
内の「Time Zone」と「Country」に関しては、設定内容を変更することで情報を取得できます。
また、「Last Seen」は後の設定で解説しています。
User Login Historyの設定を行う方は覚えておいてください。
User Login Historyの設定|場所
User Login Historyの設定を行うために設定場所に移動します。
User Login Historyの設定は、
- 左メニュー「設定」の「User Login History」項目
で各設定を行います。
項目「User Login History」をクリックします。
User Login Historyの設定方法
User Login Historyの設定は、
- 左メニュー「設定」内の「User Login History」
から行います。
それぞれの項目の1つ1つを解説していきましょう。
Basic Settings
Basic Settingsでは、
- Online(オンラインユーザーの表示最大分数)
- Idle(アイドルユーザーの表示最大分数)
の設定を行うことができます。
Last Seen(最後にアクセスした時間)の設定に関する事項です。
オンラインユーザーの表示最大分数が数値未満だと以下のように「緑色」で表示されます。
アイドルユーザーの表示最大分数がオンラインユーザーの表示最大分数を超えてアイドルユーザーの数値未満だと以下のように「灰色」で表示されます。
アイドルユーザーの数値を超えると「赤色」で表示されます。
また、ログインに失敗したアクセス者は「-」で表示されます。
尚、これらの情報はデフォルト(元々)の状態で問題はありません。
Advanced Settings
Advanced Settingsでは、
- ログインを行った国とタイムゾーンを記録
することができます。
これは、かなり便利な機能なので必ずチェックするようにしましょう。
アクセス者のタイムゾーン、国の名前が表示されます。
不正アクセスのリスクの発見【User Login History】
不正アクセスに対応するには、まず、不正アクセスの有無を知ることが前提です。
不正アクセスが有った事実を知ることができれば以下の対応を行うことができます。
- パスワードの変更
- ユーザー名の変更
- アクセス制限(ブラウザー、国、IPアドレス等)
アクセス制限に関しては上級者向けではあるものの、パスワードやユーザー名の都度変更はWordPress入門者の方でも気軽に行うことができます。
特に、admin等の初期のユーザー名を利用されている方は注意が必要で、不正ログインの被害に会わないために変更しておくことをお勧めします。
コメント