WordPressは世界でもっとも使われているオープンソースソフトウェアです。しかしながら、WordPressは世界でもっともクラッキングに狙われるソフトウェアだとも言えます。WordPressユーザーのみなさんはいろんなクラッキング対策をやっているはずですよね?最新のWordPressバージョンを維持したりとか変なWordPressプラグイン・WordPressテーマは使わないとかです。

そのようなWordPressのセキュリティ対策の中には、ユーザーに関するものもあるでしょう。ばれるようなユーザーID/パスワードを使わないとかですね。よく言われるのが、「admin」「administrator」は使っちゃダメとかですね。特に「admin」はやばいとも言われています。それ以外にもパスワードを使いまわしているとかそもそも弱いパスワードを使っているとかよくないです。ココらへんは当たり前の話ですが…

WordPressのユーザーID/パスワードに関するセキュリティ対策をちゃんとしたところで、WordPressに入ってくるユーザーのログイン履歴もちゃんと確認すべきですね。ユーザーのログイン履歴の確認をするには、Crazy BoneというWordPressプラグインを使ってやります。

Crazy Boneは、WordPressのユーザーに関する履歴を残すプラグインです。ログイン・ログアウト・ログインエラーの記録もちろんのこと、そのときの日時・ユーザー名・IPアドレス・ユーザーエージェントに加え、ログインエラー時のエラー情報も残してくれるプラグインです。

残したログイン履歴は、WordPress管理画面の「ユーザー」⇒「ログイン履歴」からみることが出来ます。ログイン履歴を残すだけのプラグインなので設定とか必要ありません。

ログインエラー時のログイン履歴をみると「admin」で入ってきているのはもちろんのことブログ名でログインしてこようとしたりしてきていますね。国外IPからの管理画面アクセスは制限しているのでログインエラーはすくないですが、それでも入ってくることはありますね。

ログインエラー履歴

まとめ

Crazy Boneは、WordPressのセキュリティ対策プラグインという訳ではありませんが、入れておいたほうがいいWordPressプラグインです。ユーザーのログイン履歴を確認するということ自体はWordPressに対するセキュリティ対策として有効です。ログイン履歴を毎度みるのは負荷が大きいと思うので定期的にログイン履歴をみるといった習慣をつけるといいでしょう。