All In One WP Securityを使えばいい
WordPressは便利ですが利用者が多いので、どうしても狙われます。
だからといって、セキュリティを高くしすぎると自分でログインするのが面倒になって使い勝手が悪くなります。
使い勝手と不正ログイン対策のバランスをとりましょう。
①Limit Login Attempts Reloadedを使う
定番の不正ログイン対策プラグインです。
不正ログインに失敗したIPアドレスを記録し、複数回失敗したIPアドレスをアクセス制限します。
アクセス制限したことをメールで知らせてくれます。
WordPressをインストールした時点で有効にしておくと安心です。
最初はLimit Login Attempts Reloadedだけで十分です。
※ 似てる名前のプラグインがあるので間違えないでね。
②User Login Historyでログイン履歴を確認する
Limit Login Attempts Reloadedから何度もメールが届くようならUser Login Historyでログイン履歴を確認します。
ログインに失敗した履歴も確認できますので、未然に不正ログイン対策できます。
ログイン履歴の確認は意外と面倒ですので、何度もアクセス制限のメールが届いてからでいいと思います。
もしユーザー名がバレてる?って思ったら、Edit Author Slugで表示するユーザー名を変更できます。
このブログでは最初からEdit Author Slugで偽のユーザー名を表示しています。
③最終的にはAll In One WP Security
最初からAll In One WP Securityを使ってもいいです。
けど、ちょっと設定が難しいというか面倒なんです。
最初は、「ログイン制限」と「基本的なファイアウォール」を有効にするだけでいいです。
しばらくしたら、おすすめは「総当たり攻撃」の「ログインページの名称を変更」です。
「ユーザーアカウント」で表示するユーザー名を変えられますが、Edit Author Slug で変更しています。
まとめ
不正ログイン対策は欠かせません。
でも、いきなりAll In One WP Securityではなく
②User Login History
③All In One WP Security
の順で十分です。
※ Limit Login Attempts Reloadedで問題ないブログも多いです。