カテゴリー : WordPress

WordPressにログイン監視プラグインを入れてみたら

どうも、hide92795です

WordPressの方に移行してから1ヶ月半ほど立ちましたが、最近になってスパムコメントが多く来るようになりました。

元々承認制のため表示されることはないのですが、来るたびにメールが送信されるためうざったらしいことこの上ない。

という訳で元々から入ってるAkismetを有効化しました。

こうかは ばつぐんだ!

とばかりに精度が高く仕分けされます。

まぁ今ではコメント送信時にCAPTCHAを表示させるために「SI CAPTCHA Anti-Spam」を導入しているのでコメント自体が来なくなりましたがねw

んで、このCpatchaについて調べていた時にブルートフォースアタックが結構あるという情報を見つけました

来ているのかなーと試しにログイン監視プラグインである「狂骨(Crazy Bone)」を導入して3日ほど様子見をみてみたところ・・・

2013-08-24 23-10-11

40/day程度の割合で来ていることが判明しました

無駄にトラフィック増やされてもアレなので、WP-Banにてアクセス禁止にしておきましたが、この際このログイン監視プラグインの作者さんのブログにあったユーザー名ホワイトリスト制でも試して見ましょうかね

Brute force attack との戦い

ちなみに、3日間だけですが自分が持っているWordPressのサイト3つ(blog, apps, minecraft)に同じように監視をつけたところ、

・blog&minecraft

中国から100件ほどカナダから15件ほどポーランドから5件ほど

中国からのはすべてユーザー名がadmin、パスワードが英単語やみんなが使ってるパスワードランキングに乗っていそうなものばかり

カナダとポーランドからのものは普通な感じのIDとパスを使ってきていますが、どっかから漏れたものでも使ってるんですかね?

あとはアタックの間隔からしてカナダとポーランドは手動(数分間隔)、中国は自動(毎秒)でしょうね

・appsブルートフォースアタックはされていませんでした

とりあえずログイン画面へのCpatchaの有効化とログイン試行回数の制限でもしておきますかね

これでも収まらなければ先程のユーザー名ホワイトリスト制を採用しましょうw

ではノシ

 

WordPressをマルチサイト化しようとしたお話

どうも、hide92795です。

先日このブログもfc2からこのWordPressへ移行しましたが、それに伴いマイクラのMod関係やTwitter系のアプリも個別ドメインにインストールしたWPで運用するようにしました。

(すべてhttp://www.hide92795.org から飛ぶことが出来ます。)

んで、昨日友達と通話中に

さくらサーバーの容量が増える→今どれくらい使ってる?→300MBって多くね→別々にWP入れてる?

という感じに話がつながり、マルチサイトという機能があることを知りましたww

プラグインの大半は被っていますし、テンプレートも全部同じものを使っているのでマルチサイト化したいと思い、既存のものを移行させる手順を調べていました。

どこのサイトでも一番面倒と書かれていたのがSQLの統合というところでした

しかしながら、自分のところの3つのWPはすべて同じデータベースを使っているので既にこの部分はクリアしていましたw

なら簡単にできるかなー と思っていたのですが、ドメインの設定方法やWPを設置する場所だったりがイマイチ分からない

変に設置して繋がらないなんてなったらイヤですし、調べていると中にはマルチサイトに対応していないプラグインもあるようで・・・

結局、いまさらインストールしなおすのも面倒&容量そこまで圧迫してない(さらに増えるし)という訳で3つのWPをそのまま運用することにしました

こういうのは初めにちゃんと調べておくべきでしたねw

残るはTwit Syncの個別ページのみ

頑張っていきましょー

ではノシ