不正ログイン対策でForce Email Loginを使用して、ログインIDではログインできないようにした

最近、不正ログインが増えているような気がします。
ので、以前にも対策しました。

最近、、、WordPressのログイン画面への不正アクセスが妙に増えています。。。 で、このことを考えたらエックスサーバー時代にはなくて、...

この原因のほとんどがエックスサーバーからMixHostに移転したからだと思います。
エックスサーバーは国外からのログインをサーバー側が防いでくれていたのでありがたかったですね。
MixHostは問合せをしましたが、サーバーのサービスとしてはないそうで、できるやり方は教えてもらいましたが、膨大な行数の処理が必要で「どうもなあ」と思ってやめました。



セキリュティの観点では、エックスサーバーの方が安定だった気がします。
それとMixHostに移転してからどうしてか、、、記事の下書きプレビューが即時反映されなくなって・・・困っていますが。


そんなこんながありまして、不正ログインを試みる件数がどんどん増えていまして、、、、




WordPressのログインの仕組みは、「ログインID」か「E-mailアドレス」+パスワードなんですよね。
困ったことに初期設定では、ユーザー名 = ログインIDとなっているので、上記の通り不正ログインを試みる場合は、ユーザー名かadminで試みるわけです。

・・・↑ 2つのうち1つが特定されているじゃん・・・
(SiteGuard WPの機能で見ることができます)

となるので、以前の対策で日本語入力を求める形にしているので、海外の不正アクセスには相当に強くなっていると思われます。




そうはいえど心配なので、どうしたものかと検索していて見つけたプラグインが「Force Email Login」です。
こちらを有効化すると、ログインIDでのログインをブロックしてくれるシンプルな機能です。
つまり、E-mailアドレスを特定しない限りログインできないようになります




プラグインの更新もされているので、安心なのかなと。
有効化した後に、試しにログインIDで試してみましたが、見事に弾かれました。
これで、アドレスが特定されな限りはもう大丈夫ですし、どんなIDを使おうとしているのかを知ることができるので、対策もできます。

ちなみに、アドレスは管理画面のユーザー一覧で見ることができるアドレスです。
設定 → 一般のアドレスではありませんので要注意です。

ということで、おそらくこれで大丈夫なのかなと・・・思いたいところです。