ダメ絶対!Limit Login Attempts (あるいは類似プラグイン)は解除しちゃだめ!

いい子には虫がつきやすい

ペンギン2.1でもハミングバードでもむしろアクセスが増えていっています。少しずつではありますが順調です。今のところ、毎日コンスタントにユニークユーザーが200弱、ページビューが400強あります。(ページビューを増やせると良いなあ)たまに、ページビューが800近く行く日もあります。1000超える日が出るのは時間の問題という感じです。何より更新も楽しい。そしてマネタイズも微々ながら少しずつ上がっているので、他のサイトのアクセスが減ってた分をカバーしてあまりあります。ほんとうにいい子。でも、いい子には虫がつきやすいのです。

注)虫=ログイン画面にアクセスしようとする連中

害虫駆除第三弾です。

第一弾「.htaccessでログイン画面にアクセス制限をかけてみました
第二弾「ログイン画面のアクセス制限は解除しちゃだめ!

これまでのお話

タイトルの通り、第一弾で.htaccessでログイン画面にアクセス制限をかけました。私の環境がIPアドレスが固定になっていないため、「.jpのみログイン画面にアクセス可能」になるように制限をかけました。結果は良好。虫さんたちは近寄れなくなりました。

第二弾はこの.htaccessによるログイン画面へのアクセス制限を実験的にやめてみた話です。Limit Login Attemptsというプラグイン(何度もログインしようとしたら、サイト全体へのアクセスを一時的に断る)は残しておきました。結果は散々。あっという間に虫さんたちが楽しくログインしようと遊んでおられます。なので、再度.htaccessによるログイン画面へのアクセス制限をかけました。

.htaccessでログイン画面へのアクセスを.jpからのアクセスに限定しても虫が寄ってくる

第二弾(ログイン画面へのアクセスを.jpからのアクセスに限定)してから約一ヶ月半経ちました。その間はこのいい子のサイトはゆっくりゆっくりとアクセスを増やしました。

第二弾で

とはいえ、.jpを許しているので、.jpだったらログイン画面へのアクセスが可能になるので、ブルートフォースアタックに対して完全に防御できているというわけではありません。

と書きましたが、その通りです。
完全に防御できているわけではないのです。やってきました。虫が連日三匹。

Limit Login Attempts & Web Banのコンビは解除しちゃだめ!

虫さんは相変わらず、Limit Login Attempts で捕獲しました。どれもIPアドレスが非常に近い(四つ目だけが違う)ので、まとめて(四つ目は”.*”と書く)Web Banでさようなら、です。一匹ずつ退治するしかないようです。もう君は人気サイトなんだから〜
他のサイトはここを含めてあまり人気がないのか、最大でも一日に200ビュー強なので、Limit Login Attempts はなくても良さそうです。むしろ、実際に私がログインし損ねて捕獲されかけています。それでも、Limit Login Attempts & Web Banのコンビは解除してはいけないな、と思います。

海外出張の間はどうしよう

数ヶ月先ですが、海外出張が決まりました。その間、予約更新ですむサイト、たまにしか更新しないサイトはいいけれど、ほぼ毎日いじるサイト(いい子ちゃんとか)は現地で更新するためにアクセス制限を一時的に解除しようと考えていました。しかし、それは危険そうです。仕方がありません。メールで記事をアップするだけにすべきのようです。

第二弾で書いたことと全く同じことを書いて締めます。

というわけで、ログイン画面へのアクセス制限、非常におすすめです。
でも、アクセスを許可していることには変わらないので、Limit Login AttemptとWP Banというプラグイン(もしくはこれらに変わるプラグイン)の併用をおすすめします。

これらのプラグインについては
・「Limit Login Attemptsで不正ログインを防止してみよう
・「WP-Banで嫌なお客さんをお断りしよう」も見てね。

Related posts