WordPressの総当り攻撃でユーザー名が見破られている

昨夜は総当り攻撃の対策で、自宅のPCのIPアドレス以外からは、ログインページが開けないように
設定をしました。したつもりでした。したんですけれどね。
ところが自宅のPC以外からは、ログインページだけでなく、ブログも開かないようになっていました。
これでは誰にもブログを見て貰えません。

自宅のPCからはブログは開くので、そんな事になっているとは自分では気が付きませんでした。
教えて貰って分かりました。
もし終えて貰っていなかったら、何日も気が付かなかったと思います。
Tomさん、教えて下さって、どうもありがとうございます)

原因は単純な私のミスです。
指定したIPアドレス以外から、ログインページが開けない様にする設定は、昨日の記事でも書いた通りTomさんの記事を参考にさせて頂きました。
.htaccess の Allow と Deny 〜アクセスの許可と制限〜  

参考と言っても、該当する部分をまるっきりコピペさせて頂いて、IPアドレスを自分のものに変更して
.htaccessに貼り付けただけですが、この時、ちゃんと必要な所をコピペしなかったんですね…
<Files ~ “wp-login.php”> と </Files>を抜かしていました。
どうしてちゃんとできないの私って…(涙)
かこさん、間違った所を教えて下さって、ありがとうございます)

自分では全然対処できていないので、この先、ちゃんと生きていけるのか不安になります。
もっと頑張らないといけませんよね。

間違いを訂正する為に、一旦.htaccess から設定のために追記した部分を削除して、
正しく追記し直しました。
その間、他のIPアドレスからもログインページが開ける状態になりました。

油断も隙もありません。
僅かな間に、また総当り攻撃を受けました。

ログインエラー狂骨

ログイン履歴を表示してくれるプラグイン、Crazy Bone(狂骨)のログインエラーの履歴です。
24日の夜から25日の朝にかけて、総当り攻撃を受けています。

ログインエラー狂骨2

他のIPアドレスから、ログインページ(ブログも)が開けないように設定したのが、25日の早朝4時半頃。
設定し直す為に解除したのが、25日の17時半頃です。

解除したら、すぐに同じIPアドレスから2つのログインエラーがありました。
自動設定でログインを試みるソフトでも使っていそうですね。
まったく… 目の前にいたら殴ってやりたいです。

昨日の記事でも書きましたが、別にもっと怖いログインエラー履歴があります。
ユーザー名が完全に一致しているログインエラーです。

ユーザー名はやはり分かってしまうそうですね。

Tomさんから教えて貰った、下記のhirose様の記事が参考になります。
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法

記事によると、URLを変更するプラグインと、ユーザー名を変更するプラグインがあるそうです。
どうせならどちらも試してみようと思います。

とりあえず、指定したIPアドレス以外からは、ログインページは開けませんけれど
私のIPアドレスはたまに変わってしまうので、また設定を解除する事があるかもしれません。
何があってもいいように、出来る事は全部しておきたいですよね。

まずはURLを変更するプラグインから試してみました。

あれれ、ここで少々雲行きが怪しくなってきました。
コメントも頂いているし、ブログのバックアップとしてエクスポートしてみたら、
エラーが出ました。 なんだか悪い予感…

もう一度試したら、今度は無事にエクスポート出来ましたけれど、保存をする時に
いつもとなんとなく雰囲気が違いました。なんと曖昧な表現…

どこかで何かがおかしいのかも。
このまま続けるとまた何かやらかしそうですね。

中途半端になってしまいましたが、続きはまたにしようと思います。

2 thoughts on “WordPressの総当り攻撃でユーザー名が見破られている

  1. inali

    このページにあるアリサヤさんの総当たりの画像をお借りして記事を書きました。

  2. アリサヤ

    inaliさん、こんばんは(^_^)
    コメントありがとうございます。
    昨日記事を読ませて頂きました(^O^)
    総当り攻撃のせいで、IPアドレスの設定をミスってエラーになったり
    (ミスる私が悪いです)散々な目に遭いましたが、勉強にもなりました。
    当たり屋なんかに負けません!
    ところで、inaliさんの箱の中の猫は、シュレーディンガーの猫かな?と
    なんとなく思っています。違っていたらすみません。

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA