このサイトはWordpressというCMS(Contents Management System)を使って作成しています。このWordpressの管理者ログインURLはwp-adminに固定されていて、このページに対するアタックが結構な頻度であります。時には一日数千件になることも。もちろんログインIDは初期状態から変えてありますし、パスワードも設定していますので第三者が簡単に乗っ取ることはできません。しかし、悪意を持ったアクセスを放置するのは気持ちの悪いものです。

これまではLimit Login Attemptsというプラグインを使用して、一定回数パスワード違い等でログインに失敗したアクセス元IPアドレスをブロックするようにしていました。これはかなり効果的で、ブロックリストに登録されたIPアドレスは日に日に増えていきました。ただ、欠点もあります。IPアドレス単位のブロックですので、IPアドレスを同一とするサイトからのアクセスもできなくなってしまします。また、管理者がうっかりパスワードの打ち間違いを繰り返すと同じくアクセスできなくなってしましす。

そこでWPS hide loginというプラグインを導入しました。これはwp-adminというページ自体を秘匿してしまう仕組みです。つまりwp-adminという管理用ページ自体を隠してしまう仕組みです。これを導入して半月ほどたちますが見事に不正ログインは消えてなくなりました。めでたし。

これまで守ってくれたLimit Login Attemptsありがとうございました。Limit Login Attemptsは消去させていただきました。