昨年騒がせたブルートフォースアタック。
私の虫つきサイトは503を連発して落ちただけで無事だったようです。
ロリポにもありましたね。私のロリポサイトもなんとかしのいだようです。
このとき知ったことの一つに、Authorネームをログインネームのままだとやばい、ニックネームにしても隠せる、でした。
なにはともあれ、ニックネーム
まずはニックネームにかえることからいきましょうか。
WordPressの管理画面の「ユーザー」の「あなたのプロフィール」を表示します。
そこの「名前」に「ユーザー名」と「ニックネーム」があります。
これで表示上の「オーサー」と「ログイン名」が変わりました。
ニックネームじゃ対策にならない!
実は、
「アドレス/?author=1」でアドレスバーに表示されてしまいます。もしもこれを隠しても、1を2に、3に、4にしていけばバレてしまう。
実際に、404を解析してみると探しているbotさんがいました。
それで見つけたログイン名でログインできないか探すわけですよ。ログイン名がわかっていない状態で探すのと、ログイン名がわかって探すのとでは危険度が全然違う。
Edit Author Slug
だから、Edit Author Slugというプラグインでログイン名を隠してしまうのです。
インストールするとさっきの「あなたのプロフィール」の一番下にEdit Author Slugのコーナーができるのでそこで変えれば隠せるようになります。
マルチサイトは要注意!
マルチサイトの場合、このEdit Author Slugは親サイトは隠せないことがありました。子サイトなら隠せるし、隠せているマルチサイトもあるのですけどねえ。プラグインだから仕方がないか。他のプラグインのせいかもしれませんし、何が理由かよくわかりません。マルチサイトにしておられる方は自分で確かめてみて下さいな。
というわけで、マルチサイトの場合、
アドレス/?author=1
は問答無用で301でGoogleに飛ばすようにしました。
参照
http://dogmap.jp/2013/06/18/fight-against-brute-force-attack-2/